Nhà sản xuất ví cứng trữ lạnh Ledger tiết lộ hôm 11/03 rằng họ đã tìm ra 5 lỗ hổng của đối thủ cạnh tranh hàng đầu là ví Trezor, hiện tại phía Trezor vẫn chưa bình luận gì về điều này.
Báo cáo nêu rõ rằng Attack Lab, một nhóm nghiên cứu của Ledger chuyên tự tấn công vào các thiết bị của mình để cải thiện bảo mật, đã phát hiện ra các lỗ hổng trên của Trezor. Trong đó, Ledger tuyên bố rằng họ đã nhiều lần đề cập về những điểm yếu của dòng ví Trezor One và Trezor T.
Lỗ hổng đầu tiên liên quan đến tính xác thực của các thiết bị. Theo đội ngũ Ledger, thiết bị Trezor có thể dễ dàng bị “làm nhái” bằng cách truyền các phần mềm độc hại, sau đó làm lại tem bảo vệ chống giả mạo. Ledger tuyên bố rằng lỗ hổng này chỉ có thể được khắc phục bằng cách đại tu lại thiết kế ví Trezor và đặc biệt cần thay thế một trong các thành phần cốt lõi bằng chip Secure Element.
Lỗ hổng thứ hai là Ledger có thể dễ dàng đoán ra mã PIN trên ví Trezor bằng cách sử dụng hình thức tấn công side-channel. Lỗ này được phát hiện vào tháng 11/2018 và sau đó Trezor đã giải quyết bằng cách cập nhật firmware 1.8.0.
Lỗ hổng thứ ba và thứ tư cũng liên quan đến việc thay thế thành phần cốt lõi bằng chip Secure Element, bao gồm khả năng bị đánh cắp dữ liệu bí mật từ thiết bị. Ledger tuyên bố rằng kẻ tấn công có quyền truy cập vật lý vào Trezor One và Trezor T, sau đó trích xuất tất cả dữ liệu từ bộ nhớ flash và chiếm quyền kiểm soát tài sản được lưu trữ trên thiết bị.
Lỗ hổng cuối cùng liên quan đến mô hình bảo mật Trezor. Theo Ledger, thư viện mã nguồn của Trezor One không có biện pháp bảo vệ chống lại các cuộc tấn công phần cứng. Nhóm nghiên cứu tuyên bố rằng hacker có quyền truy cập vật lý vào thiết bị và trích xuất khóa bí mật thông qua một cuộc tấn công side-channel, mặc dù Trezor nhiều lần tuyên bố rằng ví của họ có khả năng kháng cự.
Vào tháng 11/2018, chính Trezor đã cảnh báo rằng một bên thứ ba không xác định đang phân phối các bản sao 1 đổi 1 cho thiết bị Trezor One của mình. Các ví giả dường như có nguồn gốc từ Trung Quốc, do đó công ty đã kêu gọi người dùng chỉ nên mua ví trực tiếp trên website của Trezor.
Tuy nhiên trong báo cáo gần đây, Ledger tuyên bố rằng người dùng không thể chắc chắn việc sở hữu sản phẩm chính hãng của Trezor. Kẻ tấn công có thể có thể mua một số thiết bị, sao lưu và sau đó gửi lại cho nhà sản xuất yêu cầu hoàn tiền. Trong trường hợp ví cứng đã bị xâm nhập được bán lại, tài sản của người dùng có thể bị đánh cắp, Ledger kết luận.
Cũng trong tháng 11/2018, nhóm nghiên cứu đằng sau dự án tấn công với tên gọi là Wallet.fail đã trình diễn cách họ hack ví Trezor One, Ledger Nano S và Ledger Blue tại hội nghị 35C3. Cả Trezor và Ledger đều thừa nhận các lỗ hổng trên là đúng. Trezor lưu ý rằng các bản cập nhật firmware sẽ giải quyết vấn đề, nhưng Ledger cho nói rằng chúng không quá nguy hiểm đối với ví của họ.
tổng hợp bởi bitcoinvietnamnews
Latest news: 
. 
. 
. 
. 
. 
. 
Shop
Bidding Open
Topic: Nhà sản xuất ví Ledger phát hiện 5 lỗ hổng của ví Trezor (Read 1345 times)