Ledger, Trezor’un Güvenlik Açıklarını Açıkladı

Donanım cüzdan üreticisi Ledger, 11 Mart  Pazartesi günü yayınlanan bir rapora göre, doğrudan rakibi Trezor’un cihazlarında güvenlik açıklarını açıkladı.

Güvenlik açıklarının, güvenliği artırmak için hem kendi hem de rakip cihazlarını hackleyen şirketin departmanı Attack Lab tarafından bulunduğunu belirtildi.

Ledger, Trezor’u Trezor One ve Trezor T cüzdanlarındaki zayıflıklar hakkında defalarca bilgilendirdiğini ve sorumlu açıklama süresi sona erdikten sonra onları halka duyurmaya karar verdiğini iddia etti.

Sorun, cihazların taklit edilebilmesi ile ilgili.

Ledger hacker’larının bir Trezor cüzdanındaki PIN’in yan kanal saldırısı kullanarak değerini tahmin ettiği Kasım 2018’in sonlarında Trezor’a bildirdi. Şirket daha sonra 1.8.0 firmware güncellemesinde sorunu çözdü.

Ledger‘in ayrıca, temel bileşeni bir Secure Element yongasıyla değiştirerek çözmeyi önerdiği üçüncü ve dördüncü güvenlik açıkları, cihazdan gizli verileri çalma olasılığından doğmakta. Ledger, Trezor One ve Trezor T’ye fiziksel erişimi olan bir saldırganın tüm verileri flash bellekten çıkarabildiğini ve cihazda depolanan varlıklar üzerinde kontrol sahibi olabileceğini belirtti.

Tespit edilen son zayıflık, Trezor’un güvenlik modeliyle de ilgili: Ledger’e göre, Trezor One’ın kripto kütüphanesi donanım saldırılarına karşı uygun önlemler içermemekte. Ekip, cihaza fiziksel erişimi olan bir bilgisayar korsanının, gizli anahtarı yan kanal saldırısı yoluyla açabileceğini, ancak Trezor’un cüzdanlarının kendisine dirençli olduğunu iddia ettiğini açıkladı.

Kasım 2018’de, Trezor’un kendisi, bilinmeyen bir üçüncü tarafın, amiral gemisi Trezor One aygıtının bire bir kopyalarını dağıttığı konusunda uyardı. Sahte cüzdanlar Çin’den geliyor gibi görünüyordu. Şirket bu nedenle sahipleri Trezor’un web sitesinden cüzdan almaya çağırdı.

Ancak, son raporda Ledger, kullanıcıların resmi Trezor web sitesinden donanım satın aldıklarında bile emin olamayacaklarını iddia ediyor. Saldırgan muhtemelen birkaç cihaz satın alabilir, arka kapılarını açabilir. Daha sonra geri ödemeyi isteyen üreticiye geri gönderebilir. Tehlike altındaki cihazın tekrar satılması durumunda, kullanıcının kripto fonları çalınabilir.

İddiaları karşı Trezor ekibi de bir rapor yayınladı. Bu raporda güvenlik açıklarının kritik olmadığı iddia edildi.

Bizi twittertelegram , instagram ve linkedin kanallarımızdan takip edebilirsiniz.

Yorumlar (Hayır)

Cevap bırakın