Hardware-Bitcoin-Wallets Gehackt: Die Bedeutung Von Responsible Disclosure

Hardware-Bitcoin-Wallets Gehackt: Die Bedeutung Von Responsible Disclosure

Folgende gestern’s Artikel in Bezug auf Schwachstellen aufgedeckt, die in hardware-wallets, beide Trezor und Ledger aufgerufen haben ‘foul play’ über unverantwortliche Veröffentlichung. Hardware-hacking-Gruppe, Brieftasche.fail, die ausgesetzt die Sicherheitsprobleme, die zumindest teilweise bestreiten diese Behauptung.


verantwortungsvoller

In der security-Welt, Hacker in der Regel nur die öffentlichkeit zu gehen mit Ihre Ergebnisse nach geben die Unternehmen Zeit zum patchen der Sicherheitslücken. Offenlegung möglichen Methoden des Angriffs, bevor Anbieter haben Sie angesprochen Blätter Anwender unnötigen Risiken ausgesetzt.

Verantwortlich Anbieter tatsächlich fördern Hacker-Angriff Ihre Produkte, als durch aufspüren von Schwachstellen, die Allgemeine Sicherheit verbessert. Beide Trezor und Finanzbuchhaltung bieten bug-bounty-Programme, belohnen Forscher, die Schwachstellen zu finden und Sie zu melden direkt.

Epic Fail

Brieftasche.fehl’s Präsentation auf der #35C3-security-Konferenz zu haben scheint, schlug wie ein Blitz aus heiterem Himmel, jedoch. Trezor waren ganz offensichtlich nichts von den Schwachstellen, als CTO Pavel Rusnak, sprang direkt auf Twitter zu sagen. Er fand heraus, über die Probleme mit dem rest des Publikums, so erklärt, dass das Thema würde einige Zeit dauern, um zu beheben.

Aber er später Tweeted, dass er hätte eine Konstruktive zwei-Stunden-Diskussion mit der Brieftasche.scheitern in Bezug auf die Schwachstellen. Er schien sicherlich viel glücklicher, je nach dem Ergebnis dieser Sitzung.

Praktische Schwachstellen von Bitcoin Hardware Wallets

Ledger war auch schnell zu reagieren, zeigt sich in einer blog-post, die Brieftasche.fail hatte, nicht gefolgt standard-Sicherheits-Prinzipien. Allerdings Ledger auch in Frage gestellt, die Praktikabilität der beschriebenen Schwachstellen in der Präsentation.

Es wird speziell darauf hingewiesen, dass die Gruppe nicht extrahieren Sie die Samen oder die PIN von jedem Gerät aus. Ein nicht allzu subtiler Hinweis auf seine Mitbewerber, Trezor, vielleicht.

zusätzlich zu den RF-side-Angriff auf das Hauptbuch-Blau’s PIN, Geldbörse.fail detaillierte ein Angriff unter Verwendung einer hardware-Implantat, und beeinträchtigt PC-software zu autorisieren, rogue-Transaktionen in einem Hauptbuch Nano-S. Den blog-post darauf hingewiesen, dass sowohl der diese Angriffe erfordert weit mehr Aufwand als nur die Installation einer Spionage-Kamera zu entdecken, eine user’s-PIN ein.

0xf00dbabe MCU-bypass

Eine weitere Schwachstelle beteiligten unter Umgehung der MCU-check zu flash und ausführen von nicht signierten firmware. Ledger behaupten, dass dies ist ein feature, obwohl ein bug erlaubt die installation von nicht-funktionsfähige firmware. In jedem Fall ist die MCU nicht den Zugriff auf die PIN oder Samen.

Brieftasche.scheitern Anspruch zu haben darauf hingewiesen-Ledger über diese Fragen Monaten, und in der Tat, Ledger sagt der das schon gepatcht wurde in der nächsten firmware-update.

Sollte die Brieftasche.scheitern offengelegt haben den Fehler Ledger und Trezor vorher? Mit Ihnen teilen!


Bilder mit freundlicher Genehmigung von Shutterstock

Veröffentlicht am Sa, 29 Dezember 2018 13:00:52 +0000

Spread the love

Hinterlasse einen Kommentar

avatar
  Abonnieren  
Benachrichtige mich bei