- چندی قبل کمپانی تولید کیفپولهای سختافزاری Ledger با انتشار گزارشاتی اعلام کرده بود که توانسته در کیفپولهای شرکت رقیب یعنی Trezor چندین آسیبپذیری جدید و حساس پیدا کند. حالا کمپانی Trezor نیز با انتشار چندین مقاله و گزارش اعلام نموده که آسیبپذیریهای اعلام شده تقریبا غیرقابل سوءاستفاده هستند و علاوه بر تجهیزات تخصصی، به دسترسی فیزیکی نیاز دارند.
کمپانی Trezor پاسخ داد
کمپانی تولید کنندهی کیفپولهای سختافزاری Trezor به ادعاهای کمپانی Ledger مبنی بر آسیبپذیر بودن کیفپولهای Trezor One و Trezor T پاسخ داد. در تازهترین نمایشگاه Bitcoin Expo که در دانشگاه MIT در شهر بوستون برگزار شد، چارلز گلیمت(Charles Guillemet) افسر ارشد بخش امنیت کمپانی Ledger ادعا کرد که چهار دستگاه از کیفپولهای Trezor توسط محققین این شرکت کاملا «شکسته شده» و آنها توانسته پس از عبور از بخشهای امنیتی به داراییهای آنها دسترسی پیدا کنند.
کمپانی Ledger نیز پس از مدتی با انتشار یک گزارش با نام «امنیت مشترک ما: مسئولیت شناسایی نقاط آسیبپذیر رقبا»، اعلام کرد که توانسته پنج آسیبپذیری کلیدی در محصولات کمپانی رقیب خود یعنی Trezor پیدا کند.
تنها یک روز پس از اینکه کمپانی لدجر اقدام به انتشار این گزارش کرد، کمپانی Trezor نیز به اظهارات رقیب خود پاسخ داد و گزارشاتی با نام «پاسخ ما به یافتههای Ledger در گردهمایی MIT Bitcoin Expo» منتشر کرد.
کمپانی Trezor بخشهای ابتدایی مقاله را با بیان اینکه که حملات اشاره شده توسط کمپانی رقیب اصلا «قابل بهرهبرداری نیستند»، شروع کرد. در بخشهایی از این گزارش آمده است:
اول از همه، ما میخواهیم تا این واقعیت را مشخص کنیم که هیچ یک از حملات گفته شده قابل بهرهبرداری به صورت از راه دور نیستند. تمام روشهای حملهی نشان داده شده توسط Ledger نیاز به دسترسی فیزیکی به کیفپولهای شما، تجهیزات تخصصی، زمان کافی و تخصص فنی بالایی دارند. Trezor
در گزارشات کمپانی Ledger آسیبپذیریهای سوم، چهارم و پنجم به ناشناس بودن دادهها و هک شدن کلیدهای خصوصی اشاره دارد که همگی نیازمند دسترسی فیزیکی به کیفپولهای Trezor دارند.
گزارشات کمپانی Trezor با اشاراتی به گزارش صرافی بایننس(Binance) اعلام میکند که تنها ۵/۹۳ درصد از حملات مربوط به حملات فیزیکی و دزدی هستند، در حالی که ۶۶ درصد حملات به صورت از راه دور اتفاق میافتد. در تحقیقات کمپانی Trezor گفته شده مشتریانی که از حملات فیزیکی واهمه دارند، میتوانند از «کلمات کلیدی عبور یا Passphrase» استفاده نمایند.
این کمپانی در ادامه اظهار نموده که مقابله با حملات از راه دور اصلیترین هدف این کمپانی در زمان تولید کیفپولهای سختافزاری بوده است. در ادامه گفته شده:
همیشه اصلیترین هدف تولید کیفپولهای سختافزاری جلوگیری از به سرقت رفتن دارایی کاربران در مقابل حملات بدافزاری، ویروسهای کامپیوتری و دیگر خطرات از راه دور(مانند سرقت تمام داراییهای ذخیره شده در کیفپولهای Ledgerبا استفاده از تغییر آدرس مخفی یا Stealth) بوده است. Trezor
کمپانی Ledger همچنین ادعا نموده که میتوان یگپارچکی دستگاههای سختافزاری کمپانی Trezor را تقلید کرد و یک نمونهی تقلبی از آنها ساخت. کمپانی Trezor نیز در رابطه با این مورد توضیح داد:
هیچ راهی وجود ندارد که یک قطعهی سختافزاری بتواند خودش و یکپارچگی خودش را ببرسی کند. تاییدیهی سختافزاری یک راهحل برای این مشکل نیست، زیرا میتوان با ایجاد تغییرات سختافزاری در این دستگاههای کاری کرد که اصل بودن و Genuine بودن آنها تایید شود. Trezor
کمپانی Trezor با اشاره به ادعای Ledger مبنی بر آسیبپذیری در برابر حملات Side-Channel اظهار نموده که این آسیبپذیری توسط «روش Back-Porting و نحوهی ذخیرهسازی دادههای آن» در کیفپولهای Trezor One و Trezor T بسته شده است.
این کمپانی تولید سختافزار در ادامه توضیح داد هنگامی که آسیبپذیری مربوط به رمزعبور یا PIN رفع شود، استخراج کلید مخفی با استفاده از روشهای ضرب مقیاس Side-Channel نیز اصلاح خواهد شد.
کمپانی Trezor همچون اعلام کرد که Ledger از آنها خواسته که به دلیل پیامدهای گستردهای که ممکن است برای صنعت تولید تراشههای کوچک یا Microchip به همراه داشته باشد، از ارائهی هرگونه نتیجهگیری عجیب و قریب بپرهیزد. این کمپانی افزود که Ledger از ارائهی اطلاعات بیشتر در مورد این موضوع خودداری کرده است.
در نهایت کمپانی Trezor از کاربران خود خواست تا برای افزایش امنیت داراییهای خود از روش «محافظت به وسیلهی کلمات کلیدی» و وضع چندین کلمهی کلیدی برای دستگاههای خود استفاده کنند. مارک پالاتینوس(Marek Palatinus) مدیرعامل بخش تحقیقاتی SatoshiLabs و سازندهی کیفپولهای سختافزاری کمپانی Trezor نتیجه گرفت:
ما میخواهیم از کمپانی Ledger برای تشریح این نوع حملات که از زمان طراحی کیفپولهای Trezor از آنها اطلاع داشتیم، تشکر کنیم. از آنجایی که ما متوجه هستیم هیچ دستگاه سختافزاری به صورت ۱۰۰ درصد امن نیست، ما مفهوم کلمات کلیدی بازیابی حساب(Passphrase) را معرفی کردیم، که علاوه بر واکنشپذیریهای احتمالی بسیاری از انواع حملات فیزیکی دیگر مانند این موارد را برطرف میکند. Marek Palatinus
در نهایت Trezor با انتشار یک عکس اعلام کرد که تقریبا تمامی روشهای حملهی اعلام شده توسط کمپانی Ledger با استفاده از بروزرسانیهای امنیتی و دیگر روشهای ممکن، برطرف شدهاند.
نظر شما در رابطه با پاسخهای Trezor چیست؟ آیا کیفپولهای این کمپانی امن هستند؟ نظرات خود را با ما به اشتراک بگذارید.
