当前位置:首页 > 资讯 >

这个团队现场揭露了硬件钱包Ledger钱包的漏洞

在第35届杂乱通信交流会(35C3)上,来源于新成立公司Wallet Fail的三人精英团队表明,她们可以黑进最多见的硬件钱包,而且在台子上演示了整个过程。硬件钱包Trezor方面表明,这群网络黑客并没有遵循规范靠谱的公布协议书;Ledger钱包开发人员说,这一Wallet Fail精英团队给人的第一印象是这些人的钱包存有重要漏洞,她们注重“客观事实并不是这样”。
她们能攻克全部硬件钱包?
杂乱通信交流会是一场一年一度的主题活动,集聚了网络黑客、电子计算机生物学家及其安全性权威专家。2021年的35C3当场,有一个名叫Wallet Fail的队伍开展了长达一小时的演示,该精英团队觉得其可以攻克全部数字货币硬件机器设备,包含Trezor及其Ledger等著名的钱包。
Wallet Fail演示了怎样根据固件下载来修补漏洞,但她们宣称发觉了一些微处理器存在的问题,这类漏洞很有可能“必须新一代的硬件版本号”。
她们在台子上演示的一些攻击种类包含手机软件攻击。当机器设备被开机启动项以后,Wallet Fail就在ppt上公开了一些个人信息。她们演示的别的攻击好像表明出了硬件钱包内部结构的重要漏洞,涉及到的攻击种类包含邪恶女仆攻击(evil maid attack)、侧安全通道攻击(side channel assault)及其各种各样社交媒体工程项目方法。

这个团队现场揭露了硬件钱包Ledger钱包的漏洞这个视频演示了破译硬件钱包专用型的正确引导载入程序流程维护,绕开微处理器,并应用web页面常见故障与钱包开展互动。在短视频里,Wallet Fail还展示了一个Ledger Nano S,并在里面安裝了诺基亚手机的經典游戏贪吃蛇。通过长达一个小时的演示以后,这种开发人员把短视频传入了自个的官在网上。
Trezor和Ledger的回复
这个视频发布以后,两大硬件钱包生产商对Wallet Fail的观点作出了回复。
Satoshi Labs CTO Pavol Rusnak在微博上表明,他的公司并没根据规范的信息披露程序流程获得通告,反而是“从台子上”获知了Trezor存有漏洞。
大家必须一些時间来修补这种漏洞,大家可能根据1月底的固件下载来解决困难。
Rusnak说,他也参与了此次的35C3大会,并亲眼印证了此次演示。
Trezor对这个视频的答复是:
请记牢,这是一个物理学漏洞。换句话说,攻击者务必取得你的机器设备。假如你的Trezor仍然在你手上,你能安心再次应用,这一漏洞不容易干扰到你。
Ledger钱包精英团队也进行了回复。Ledger表明,Wallet Fail精英团队演示了三种攻击空间向量,给粉丝的感覺便是这种漏洞很严重。殊不知,客观事实并不是这样,客户无须担忧她们存有Ledger的资金财产安全。
她们并没有取得成功获取一切种籽或是PIN码。全部存放在Secure Element上的比较敏感财产仍然十分安全性。
大家承担责任地开展信息披露是维护用户的较好方法,与此同时还能够确保安全产品。
硬件钱包生产商遭遇多重挑戰
这己经并不是硬件钱包生产商第一次必须面对这些宣称可以攻克全部设施的网络黑客了。2017年,在拉斯维加的一场技术性交流会上也出現了一场揭秘数字货币硬件钱包漏洞的演示。上年3月,一个十几岁的青少年儿童说他可以用编码寻找Ledger的“侧门”。那时候,Ledger得出的回复一样是这种攻击空间向量并不重要,没法获取公钥。
和往日一样,大家不应该完全坚信这种攻击空间向量,由于以往两年的实践经验提醒大家,大部分攻击取得成功的前提条件是要取得机器设备,远程控制攻击好像是没用的。Ledger和Trezor提示消费者应用二级密码。一些数字货币发烧友仍在社交媒体没提醒注重了设定PIN码的必要性。

猜你喜欢

关注我们

微信二维码

微信