Последние кошельки Trezor Safe 3 и Safe 5 столкнулись с серьёзными проблемами безопасности. Исследовательская группа Ledger Donjon обнаружила уязвимости в микроконтроллерах устройств, которые могут привести к удалённому доступу хакеров к средствам пользователей.
Проблемы криптографической безопасности в новых устройствах
Несмотря на обновление дизайна и внедрение элементов безопасности уровня EAL6+, все криптографические операции продолжают выполняться на микроконтроллере, подверженном атакам типа 'подмена напряжения'. Это может позволить злоумышленникам извлечь криптографические секреты и модифицировать прошивку.
Система аутентификации Trezor не защищает микроконтроллер
Исследование Ledger показало, что система криптографической аутентификации Trezor не проверяет прошивку микроконтроллера. Хотя Secure Element защищает от несанкционированного доступа, связка с микроконтроллером осуществляется через заранее известный секрет, что делает его уязвимым для атак.
Уязвимости проверки прошивки: опасность для пользователей
Проверка целостности прошивки может быть обходена, если атакующий изменяет вычисления, позволяя выдать модифицированную прошивку за подлинную. Это ставит пользователей под угрозу кражи ключей и изменения данных транзакций.
Вопросы безопасности, связанные с микроконтроллером, остаются серьёзной угрозой для пользователей Trezor Safe 3 и Safe 5. Несмотря на патчи и усовершенствования, риск использования уязвимостей остаётся высоким, пока не будет улучшена защита микроконтроллера.
