Вы здесь

Хакеры Wallet Fiat против производителей «холодных» кошельков Ledger и Trezor

Команда «белых хакеров» Wallet Fiat на специализированной конференции Chaos Communication Congress устроила часовую презентацию многочисленных вариантов взлома холодных кошельков Ledger и Trezor. Показанное шоу стало полной неожиданностью для производителей, обвинивших стартап в популизме и этических нарушениях.

Ledger и Trezor успокоили пользователей – на презентации не было доказано, что можно извлечь код или seed-фразу, все атаки строились на завладении физическим устройством и социальном инжиниринге, когда жертва самостоятельно заражает устройство.

Помимо психологических приемов завладения информацией на видеозаписи выступления Wallet Fiat видно, как команда «ворует» персональные данные в ходе загрузки устройства, продемонстрирован взлом защиты и обход микропроцессора устройства, а также вызов специальных сбоев веб-интерфейса для перехвата управления кошельком.

Производители обращают внимание, что для атаки при загрузке флешки кошелька, потребуется дождаться момента первой транзакции, угадав время и место, но согласились с уязвимостью, пообещав устранить ее в следующей прошивке. Обход микропроцессора, показанный на шоу, возможен, но он переведет кошелек в режим отладки и не будет способствовать хищению криптовалюты или персональных данных.

Продемонстрированный Wallet Fiat способ извлечения PIN-кода из Ledger Blue – «старая уязвимость», которая уже устранена, команда просто вводит пользователей в заблуждение. Производители считают, что вся презентация построена для привлечения интереса к команде Wallet Fiat. По этическим стандартам раскрытия уязвимостей, до их публикации сначала ставят в известность компании, а любые публикации на эту тему проводят после устранения недостатков, не подвергая риску пользователей.

1280 / 0
Аватар пользователя Иван Петров
Публикацию добавил: Иван Петров
Дата публикации: сб, 12/29/2018 - 10:45

Комментарии:

Gleb

Согласен, если уж нашли уязвимость, то лучше сначала сообщить производителю, а уж когда ими не будут предприняты меры по устранению - обнародовать обнаружение уязвимости.

сб, 12/29/2018 - 19:44

Тем более что уязвимости представлены как сенсация - на самом деле это недочеты.

вс, 12/30/2018 - 05:12

Добавить комментарий