در کوین سرا از جدیدترین و داغ ترین اخبار و مطالب دنیای ارزهای رمزپایه مطلع می شوید .

کشف 5 آسیب پذیری جدی در کیف پول های ترزور

0 1,038

طبق گزارش منتشر شده در روز دوشنبه 11مارس، لجر، تولید کننده بزرگ کیف پول های سخت افزاری، آسیب پذیری های جدی کیف پول رقیب خود، ترزور را افشا کرد.

طبق گزارشات تیم ترزور فعلا پاسخی به این اظهار نظر نداده است.

این مطالعه توسط Attack Lab انجام شده و این آسیب پذیری ها مشخص شده است. Attack Lab که بخشی از شرکت لجر است، تلاش می کند دستگاه های خود شرکت و رقبا را به منظور بهبود امنیت هک کند. لجر ادعا می کند که نقاط ضعف، مربوط به کیف پول های ترزور مدل Trezor One و Trezor T است و تصمیم گرفته است پس از پایان دوره بررسی تمام این موارد را به طور عمومی منتشر کند.

موضوع اول در مورد خود دستگاه است. طبق گفته لجر، دستگاه ترزور را می توان با استفاده از بدافزار ها کپی کرد و سپس برچسب و هولوگرام های جعلی را که به راحتی کنده می شوند، بر روی دستگاه قرار داد. لجر می گوید این آسیب پذیری را می توان به راحتی با بازنگری در طراحی کیف پول و به ویژه با جایگزینی بخش اصلی کیف پول با یک تراشه امن برطرف کرد.

دومین مشکل اعلام شده از جانب لجر این بود که هکرهای این شرکت توانسته اند پین کد را، با استفاد یک حمله از کانال جانبی، هک کنند و این مشکل را در اواخر نوامبر سال 2018 به ترزور گزارش کرده اند. این شرکت بعدا با به روز رسانی دستگاه خود به سخت افزار 1.8.0، این مشکل را حل کرد.

در مورد آسیب های سوم و چهارم لجر پیشنهاد می دهد، با جایگزینی بخش مرکزی کیف پول با ریز تراشه امن، از امکان سرقت اطلاعات محرمانه دستگاه جلوگیری شود. لجر می گوید که یک مهاجم با دسترسی فیزیکی به Trezor One و Trezor T می تواند تمام داده های حافظه را استخراج و کنترل دارایی ها را در دست بگیرد.

آخرین نقطه ضعف گزارش شده مربوط به مدل امنیتی کیف پول ترزور است: طبق گفته لجر، کیف پول مدل Trezor One دارای اقدامات مناسب در برابر حملات سخت افزاری نیست. این تیم ادعا می کند یک هکر با دسترسی فیزیکی به دستگاه می تواند با حملات کانال های جانبی، کلید امنیتی را خارج کند. هر چند که ترزور ادعا می کند که کیف پول به این حملات مقاوم است.

در نوامبر 2018، خود شرکت ترزور هشدار داد که یک شرکت ثالث ناشناس شروع به توزیع نسخه های مشابه دستگاه Trezor One در بازار کرده است. به نظر می رسید که کیف پول جعلی از چین توزیع شده است. شرکت از مشتریانش خواست تا کیف پول را فقط از وبسایت ترزور خریداری کنند.

با این حال لجر در گزارش اخیر خود ادعا می کند که کاربران حتی هنگام خرید کیف پول از وبسایت رسمی تروزر نمی توانند مطمئن باشند. مهاجم می تواند چندین دستگاه را خریداری کرده و آنها را از طریق درگاه های مخفی هک کند و مجددا به تولید کننده پس دهد و درخواست برگشت پولش را بدهد. در صورتی که دستگاه هک شده دوباره به فروش برسد، دارایی رمزنگاری کاربر می تواند به سرقت رود.

در نوامبر سال 2018 تیم تحقیقاتی Wallet.fail نشان داد که چگونه تیم آنها توانسته اند کیف پول های Trezor One، لجر Nano S و Ledger Blue را هک کنند. هر دو شرکت وجود این آسیب پذیری ها را پذیرفتند. ترزور اعلام کرد که با انتشار نسخه به روز شده کیف پولش مشکل را برطرف می کند. اما لجر عنوان کرد که آسیب پذیری کشف شده خطر جدی برای کیف پولش محسوب نمی شود.

منبع cointelegraph

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.