«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях

Разработчики популярных аппаратных кошельков Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах.

Так, в Trezor подчеркнули, что подделать можно любое устройство, комментируя атаку на цепи поставок.

«В этом случае решения, которое гарантирует 100-процентную безопасность, просто нет. Каждая компания борется с этой проблемой по своему».

Одновременно с этим уязвимость, которая позволяла потенциальным злоумышленникам осуществить атаку по стороннему каналу, была решена.

Как утверждают разработчики, в ходе тестирования ПО устройств Trezor исследователи Ledger обнаружили всего две уязвимости, которые злоумышленники все равно бы не смогли использовать. Однако они также были устранены.

Примечательно, что атака по стороннему каналу со скалярным произведением не может быть использована, поскольку злоумышленнику необходимо будет ввести PIN-код.

Пятая уязвимость, подверженная так называемой внезапной заключительной атаке, затрагивает все аппаратные устройства, добавили в Trezor, однако решается с помощью фразы-пароля.

Кроме того, все вышеперечисленные атаки требуют физического доступа к аппаратному кошельку и не могут быть осуществлены удаленно.

«Я бы хотел поблагодарить Ledger за демонстрацию атак, о которых мы знали с момента создания Trezor. Мы осознаем, что аппаратные устройства не могут быть полностью безопасны, поэтому мы ввели фразу-пароль. Кроме того, правдоподобное отрицание делает большинство физических атак неактуальными», — отметил CEO компании Satoshi Labs Марек «Slush» Палатинус.

13 марта также стало известно, что PR-фирма, представляющая интересы Ledger, пыталась договориться о публикации статьи об уязвимостях на Crypto Briefing. Последние отказались, поскольку восприняли это как неприкрытую атаку на конкурента.

Днем ранее свой, вероятно, первый Trezor получил и основатель Twitter Джек Дорси.

Подробнее с исследованиями Ledger можно ознакомиться по ссылке.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]