کشف چندین آسیب‌پذیری جدید در کیف‌پول سخت‌افزاری Trezor

آسیب‌پذیری Trezor

براساس گزارشاتی که روز ۱۱ام مارس منتشر شده است، کمپانی تولید کننده‌ی کیف‌پول‌های سخت‌افزاری Ledger توانسته در محصولات کمپانی رقیب خود یعنی Trezor چند مشکل و آسیب‌پذیری پیدا کند.

در گزارشات مربوط به این واقعه آمده است که آزمایشگاه‌های Attack Lab موفق به کشف این آسیب‌پذیری شده است. لازم به ذکر است که Attack Lab بخشی از کمپانی Ledger می‌باشد که برای افزایش و بررسی امنیت کیف‌پول سخت‌افزاری هر دو کمپانی، هک کردن آن‌ها را بر عهده دارد. کمپانی Ledger ادعا می‌کند که به طور مکرر در رابطه با نقاط ضعف کیف‌پول‌های رمزارزی Trezor One و Trezor T به کمپانی مذکور تذکر داده است، اما پس جواب ندادن کمپانی مذکور تصمیم‌ گرفته تا این موضوع را به صورت عمومی منتشر کند.

اولین مورد مربوط به اصلی بودن و Genuine این دستگاه‌ها می‌باشد. براساس یافته‌های تیم Ledger، با استفاده از یک بدافزار و روش‌های Backdooring(یک روش برای دور زدن مراحل احراز هویت معمول) می‌توان یک نسخه‌ی تقلبی از کیف‌پول‌های Trezor ساخت و با استفاده از برچسب‌های ضد جعل که روی جعبه‌ی این کیف‌پول‌ها قرار دارد و به راحتی جدا می‌شوند، آن را به کاربر دیگری فروخت. کمپانی Ledger اعلام نموده که این آسیب‌پذیری را می‌توان به وسیله‌ی بازنگری در طراحی کیف‌پول Trezor و جایگزین کردن یکی از اجزای اصلی دستگاه با تراشه‌های امنیتی، رفع کرد.

مورد دوم اینکه هکر‌های فعال در کمپانی Ledger گزارش داده‌اند که می‌توانند با استفاده از حملات Side-Channel رمزعبور و PIN کیف‌پول‌های Trezor را کشو کنند. گزارشات مربوط به این آسیب‌پذیری در ماه نوامبر ۲۰۱۸ به توسعه‌دهندگان Trezor‌ ارسال شد و آن‌ها توانستند با ارئه‌ی بروزرسانی نسخه‌ی ۱.۸.۰ این مشکل را حل کنند.

سومین و چهارمین آسیب‌پذیری کشف شده توسط تیم کمپانی Ledger نیز امکان سرقت اطلاعات محرمانه از این دستگاه‌ها بوده است و تیم Ledger اعلام نموده که تنها راه‌حل آن، جایگزینی یکی از اجزای داخلی دستگاه با یک تراشه‌ی امنیتی می‌باشد. کمپانی Ledger‌ همچنین اعلام نموده که یک مهاجم می‌تواند با دسترسی فیزیکی به کیف‌پول‌های Trezor One‌ و Trezor T به سادگی تمامی داده‌های حافظه‌ی آن‌ها را استخراج نموده و به تمام دارایی‌های رمزارزی ذخیره شده در آن‌ها دسترسی پیدا کند.

آخرین ضعف امنیتی کشف شده نیز مربوط به مدل‌های امنیتی کمپانی Trezor می‌باشد. براساس یافته‌های کمپانی Ledger، کتابخانه‌ی رمزنگاری کیف‌پول‌های Trezor One شامل اقدامات امنیتی متقابل برای جلوگیری از هک شدن نمی‌باشد. این تیم ادعا می‌کند که هکر‌ها می‌توانند با دسترسی فیزیکی به این دستگاه و انجام یک حمله‌ی Side-Channel، اقدام به استخراج کلید‌های رمزی یا Secret Key کیف‌پول‌های مذکور کنند. البته کمپانی Trezor ادعا می‌کند که کیف‌پول‌های رمزارزی ساخته شده توسط آن‌ها در برابر اینگونه حملات مقاوم است.

در ماه نوامبر ۲۰۱۸، کمپانی Trezor اعلام کرد که یک منبع شخص ثالث ناشناخته اقدام به جعل و توزیع نسخه‌های بسیار مشابه از پرچمدار این کمپانی یعنی کیف‌پول‌های Trezor One کرده است. به نظر می‌رسد که منبع ساخت این کیف‌پول‌های جعلی کشور چین می‌باشد. با این حال کمپانی Trezor از کاربران خواسته تنها با استفاده از وب‌سایت رسمی این شرکت اقدام به خرید کیف‌پول‌های رمزارزی نمایند.

با این حال، در گزارشات اخیر کمپانی Ledger گفته شده که کاربران حتی با خرید از وب‌سایت رسمی کمپانی Trezor‌ نیز نمی‌توانند از اصل بودن محصول خریداری شده اطمینان حاصل نمایند، زیرا مهاجم می‌تواند چندین کیف‌پول رمزارزی خریداری کرده و پس از دستکاری آن‌ها، اقدام به باز پس فرستادن کیف‌پول‌ها کرده و درخواست بازگشت وجه نماید. در صورتی که این کیف‌پول‌های دستکاری شده یک بار دیگر به فروش برسند، امکان به سرقت رفتن تمام دارایی‌های رمزارزی کاربر وجود خواهد داشت.

در نوامبر ۲۰۱۸، تیم تحقیقاتی پروژه‌ی هک Wallet.Fail با حضور در کنفرانس 35C3 Refreshing Memories نشان داد که چگونه می‌توان کیف‌پول‌های رمزارزی Trezor One، Ledger Nano S و کیف‌پول‌های Ledger Blue را هک کرد.

هر دو کمپانی در رابطه با این موضوع اعلام کردند که توانسته‌اند آسیب‌پذیری مربوط به آن را کشف کنند. البته کمپانی Trezor‌سریعا اعلام نمود که با انتشار یک بروزرسانی نرم‌افزاری مشکلات مربوطه رفع خواهد شد، اما کمپانی Ledger اعلام کرد که این مورد برای کیف‌پول‌های ساخته شده توسط آن‌ها یک آسیب‌پذیری بسیار مهم و بحرانی تلقی نمی‌شود.

نظر شما در رابطه با آسیب‌پذیری‌های کشف شده در کیف‌پول‌های ساخت شرکت Trezor چیست؟ نظرات خود را با ما به اشتراک بگذارید.