براساس گزارشی که در روز ۱۱ مارس (۲۰ اسفند) منتشر شد، سازنده کیف پول‌های سخت‌افزاری لجر از آسیب‌پذیری‌های موجود در دستگاه‌های ترزور که رقیب اصلی‌اش محسوب می‌شود، پرده برداشت.

در زمان نگارش این خبر، هنوز هیچ پاسخی از سوی ترزور مبنی بر صحت یافته‌های لجر به دست نرسیده است.

در مطالعه‌ای که در این رابطه انجام شده، آمده است که این آسیب‌پذیری‌ها در اتک‌لب (آزمایشگاه امنیتی) پیدا شده است. اتک‌لب بخشی از شرکت لجر است که در آن به دستگاه‌های خود و همچنین رقبایشان نفوذ می‌کنند تا عملکرد آن‌ها را از نظر امنیتی بهبود بخشند.

لجر مدعی است که چندین بار به ترزور درباره ضعف امنیتی دستگاه‌های کیف پول ترزور وان (Trezor One) و ترزور تی (Trezor T) هشدار داده و در نهایت تصمیم گرفته تا این نقاط ضعف امنیتی را پس از اتمام دوره افشاسازی مسئولانه عمومی سازد.

اولین مشکل مربوط به تایید اصالت دستگاه‌ها است. براساس گفته‌های تیم لجر، امکان ایجاد در پشتی (backdoor) در دستگاه‌های ترزور با انجام همانندسازی با بدافزار، سپس بستن دوباره جعبه دستگاه و چسباندن برچسب دستکاری نشده‌ای که طبق گزارش‌ها برداشتن آن کاری ندارد، بر روی دستگاه‌های ترزور وجود دارد.

تیم لجر اعلام کرده که این نوع آسیب‌پذیری با بررسی دقیق طراحی کیف پول‌های ترزور و به خصوص جایگزینی یکی از اجزای اصلی‌اش با یک تراشه عنصر امن قابل برطرف کردن است.

گزارش شرکت لجر از 5 آسیب‌پذیری جدی در کیف پول‌های سخت‌افزاری ترزور

دومین آسیب‌پذیری مربوط به حدس زدن پین کیف پول‌های سخت افزاری ترزور با استفاده از حمله کانال جانبی (Side-Channel attack) بود که لجر آن را اواخر نوامبر ۲۰۱۸ به ترزور گزارش کرده بود. این شرکت در بروزرسانی‌های سفت‌افزار ۱.۸.۰ این مشکل را حل کرد.

لجر برای حل آسیب‌پذیری‌های سوم و چهارم که امکان دزدیده شدن اطلاعات محرمانه را از دستگاه فراهم می‌سازد، پیشنهاد جایگزینی تراشه اصلی با یک تراشه امن را داده است. لجر همچنین اعلام کرده که در صورت دسترسی فیزیکی مهاجم به دستگاه‌های ترزور وان و ترزور تی، او می‌تواند تمامی اطلاعات حساس را از حافظه‌اش بیرون کشیده و بر روی دارایی‌های ذحیره شده در دستگاه کنترل یابد.

آخرین آسیب‌پذیری کشف شده به مدل امنیتی ترزور برمی‌گردد. بر اساس گزارش لجر، کتابخانه کریپتو ترزور وان تمهیدات امنیتی مناسبی برای مقابله با حملات سخت‌افزاری در نظر نگرفته است. علاوه بر این تیم لجر مدعی شده است که در صورت داشتن دسترسی فیزیکی به دستگاه‌ها می‌تواند کلید محرمانه را از طریق حمله کانال جانبی واکشی کند؛ هرچند طبق ادعای ترزور کیف پول‌های آن در مقابل این حملات مقاوم است.

در ماه نوامبر سال ۲۰۱۸، شرکت ترزور هشدار داد که منبع نامشخصی دستگاه‌های تقلبی ترزور وان را توزیع می‌کند و این امر ظاهراً از کشور چین در حال انجام شدن است. از این رو ترزور به خریداران خود هشدار داد که تنها از سایت رسمی ترزور اقدام به خرید کیف پول‌های این شرکت کنند.

گزارش شرکت لجر از 5 آسیب‌پذیری جدی در کیف پول‌های سخت‌افزاری ترزور

هرچند در گزارش اخیر لجر ذکر شده که کاربران با خرید از سایت رسمی ترزور هم نمی‌توانند به سالم بودن و دستکاری نشدن دستگاه اعتماد کنند. مهاجم می‌تواند چندین دستگاه از شرکت ترزور بخرد، در پشتی را بر روی تمامی آن‌ها کار گذاشته و آن‌ها را برای استرداد دوباره به شرکت تولیدکننده بفرستد. در صورت فروخته شدن دوباره این دستگاه، طبق نتیجه‌گیری لجر، سرمایه کاربر می‌تواند دزدیده شود.

در ماه نوامبر سال گذشته، تیم تحقیقاتی پروژه هکینگ Wallet.fail نشان دادند که چگونه دستگاه‌های ترزور وان، لجر نانو اس و لجر بلو را در ۳۵مین کنفرانس Chaos Communication Congress را هک کرده‌اند. هر دو شرکت سازنده کیف پول سخت‌افزاری ترزور و لجر پس آن اعلام کردند که متوجه آسیب‌پذیری‌های موجود شده‌اند. تروز برای این آسیب‌پذیری‌ها یک بروزرسانی سفت‌افزار منتشر کرد اما لجر در این باره افزود که این آسیب‌پذیری‌های کشف شده برای کیف پول‌های این شرکت مسئله مهمی نیست.

منبع: cointelegraph

عناوین مرتبط