OneKey, o companie care furnizează portofele hardware criptografice, a declarat că a corectat deja o defecțiune a firmware-ului său care a făcut posibil ca unul dintre portofelele sale hardware să fie compromis în mai puțin de o secundă.
Unciphered, o firmă din domeniul securității cibernetice, a declarat într-un videoclip care a fost încărcat pe YouTube pe 10 februarie că a descoperit un mijloc de a „deschide” un OneKey Mini, profitând de un „defect major masiv” și exploatându-l.
Potrivit lui Eric Michaud, partener la Unciphered, a fost posibil să readuceți OneKey Mini în „modul fabrică” și să ocoliți pinul de securitate prin dezasamblarea dispozitivului și introducerea codului. Acest lucru ar permite unui potențial atacator să elimine expresia mnemonică care este folosită pentru a recupera un portofel. Acest lucru a fost posibil prin readucerea dispozitivului la „modul fabrică”.
„Aveți unitatea centrală de procesare, precum și elementul de securitate. Cheile dvs. criptografice vor fi întotdeauna stocate în elementul securizat. Michaud a remarcat că într-o situație tipică, conexiunile dintre unitatea centrală de procesare (CPU), care este locul în care se face procesarea, și elementul securizat sunt criptate.
„Ei bine, după cum se dovedește, în acest caz particular, nu a fost construit pentru a face acest lucru. „Ce ai putea face este să pui la mijloc un instrument care monitorizează comunicațiile și le interceptează și apoi le injectează propriile comenzi”, a spus el, adăugând: „Aceasta fiind spuse, cu fraze de parolă și practici de securitate de bază, chiar și atacuri fizice dezvăluite de către Unciphered nu va afecta utilizatorii OneKey.”
Compania a continuat subliniind că, în ciuda faptului că vulnerabilitatea era îngrijorătoare, vectorul de atac care a fost descoperit de Unciphered nu poate fi folosit de la distanță. În schimb, necesită „dezasamblarea dispozitivului și accesul fizic printr-un dispozitiv FPGA dedicat în laborator” pentru a putea fi executat.
Potrivit OneKey, după discuții cu Unciphered, s-a divulgat faptul că alte portofele au dificultăți similare. Acest lucru a fost dezvăluit când s-a descoperit că alte portofele au aceeași problemă.
OneKey a spus că au compensat Unciphered cu recompense ca o modalitate de a-și exprima recunoștința pentru contribuția lor la securitatea companiei.
OneKey a spus într-o postare pe blog că a luat deja măsuri de precauție semnificative pentru a asigura siguranța clienților săi. Aceste măsuri de precauție includ protejarea clienților împotriva atacurilor lanțului de aprovizionare, care apar atunci când un hacker înlocuiește un portofel real cu unul care se află sub controlul lor.
Ambalajul invizibil pentru expedieri a fost unul dintre pașii luati de OneKey, împreună cu utilizarea furnizorilor de servicii Apple pentru lanțul de aprovizionare în scopul asigurării unui management strâns al securității lanțului de aprovizionare.
Ei au aspirații de a adăuga autentificare la bord într-un viitor nu prea îndepărtat și de a actualiza portofele hardware mai recente cu componente de securitate de nivel superior.
Conform celor spuse de OneKey, obiectivul principal al portofelelor hardware a fost întotdeauna să protejeze activele financiare ale utilizatorilor de atacuri cibernetice, viruși informatici și alte amenințări potențiale; cu toate acestea, din păcate, nimic nu poate fi complet sigur.
„Când ne uităm la întregul proces de fabricație al portofelelor hardware, de la cristale de siliciu la codul de cip, de la firmware la software-ul, este sigur să spunem că orice barieră hardware poate fi depășită cu destui bani, timp și resurse; chiar dacă este un sistem de control al armelor nucleare.” „Când ne uităm la întregul proces de fabricație al portofelelor hardware, de la cristale de siliciu la codul cipului, de la firmware la software,”
Sursa: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked