«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях
Разработчики популярных аппаратных кошельков Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах.
In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities. Read our official response at https://t.co/5IvMrMm9bQ pic.twitter.com/1rPovxsYjt
— Trezor (@Trezor) March 12, 2019
Так, в Trezor подчеркнули, что подделать можно любое устройство, комментируя атаку на цепи поставок.
«В этом случае решения, которое гарантирует 100-процентную безопасность, просто нет. Каждая компания борется с этой проблемой по своему».
Одновременно с этим уязвимость, которая позволяла потенциальным злоумышленникам осуществить атаку по стороннему каналу, была решена.
Как утверждают разработчики, в ходе тестирования ПО устройств Trezor исследователи Ledger обнаружили всего две уязвимости, которые злоумышленники все равно бы не смогли использовать. Однако они также были устранены.
Примечательно, что атака по стороннему каналу со скалярным произведением не может быть использована, поскольку злоумышленнику необходимо будет ввести PIN-код.
Пятая уязвимость, подверженная так называемой внезапной заключительной атаке, затрагивает все аппаратные устройства, добавили в Trezor, однако решается с помощью фразы-пароля.
Кроме того, все вышеперечисленные атаки требуют физического доступа к аппаратному кошельку и не могут быть осуществлены удаленно.
I would like to thank Ledger for demonstrating the attack that we have been aware of since designing @Trezor. Because we realize no HW is 100% safe, we introduced the passphrase; that besides plausible deniability eliminates many kinds of physical attacks, like this one. https://t.co/pFK0o6FpCu
— slush (@slushcz) 12 марта 2019 г.
«Я бы хотел поблагодарить Ledger за демонстрацию атак, о которых мы знали с момента создания Trezor. Мы осознаем, что аппаратные устройства не могут быть полностью безопасны, поэтому мы ввели фразу-пароль. Кроме того, правдоподобное отрицание делает большинство физических атак неактуальными», — отметил CEO компании Satoshi Labs Марек «Slush» Палатинус.
13 марта также стало известно, что PR-фирма, представляющая интересы Ledger, пыталась договориться о публикации статьи об уязвимостях на Crypto Briefing. Последние отказались, поскольку восприняли это как неприкрытую атаку на конкурента.
2/ We refused to run the story. When it comes to #crypto #security we don’t take sides.
— Crypto Briefing (@crypto_briefing) 12 марта 2019 г.
Днем ранее свой, вероятно, первый Trezor получил и основатель Twitter Джек Дорси.
Thanks ?@Trezor? pic.twitter.com/w6YHCRckZe
— jack (@jack) 12 марта 2019 г.
Подробнее с исследованиями Ledger можно ознакомиться по ссылке.