10
Уязвимости Trezor One
Подобные устройства, как правило, защищены специальными наклейками. Они подтверждают, что упаковка не вскрывалась, а устройство не попадало в чужие руки. В самом начале презентации специалисты показали, что такой уровень защиты ничего не дает: наклейки на коробке и USB-порте Trezor One легко убрать при помощи нагревания.
За управление компонентами устройства отвечает микроконтроллер STM32F205. Изучение механизмов загрузки и обновлений показало, что ОЗУ Trezor One позволяет извлечь приватный ключ. В таком случае злоумышленник сможет работать с криптовалютой на кошельке, в том числе переводить ее.
Уязвимости Ledger
Разработчики Ledger пошли дальше и решили проводить проверку целостности во время включения устройства, т. е. без использования стикеров. По их заявлениям, чип Secure Element делает невозможным физическое вмешательство. На презентации специалисты смогли снять защиту и получить доступ к «внутренностям» устройства.
В Ledger Nano S присутствует баг, позволяющий установить собственную прошивку. Интересно то, что производитель защитил устройство от таких атак путем проверки образа прошивки. Ошибка в том, что после этого устройство сохраняет константу 0xF00BABE, а в дальнейшем проверки не производятся.
Чтобы обеспечить безопасность собственной инфраструктуры, вы можете заказать тестирование безопасности сети у специалистов «Том Хантер». Поиск и устранение существующих уязвимостей – это верный путь к снижению риска потери деловой репутации.
© 2005-2020, «NeoDrive.ru». Все права защищены.
При копировании материалов прямая открытая для поисковых систем гиперссылка на neodrive.ru обязательна.
