Разработчики Trezor ответили на заявление Ledger об уязвимостях

Разработчики популярных аппаратных кошельков для хранения биткоина и других криптовалют Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах.

Так, комментируя атаку на цепи поставок, представители Trezor подчеркнули, что подделать можно любое устройство:

«В этом случае решения, которое гарантирует 100-процентную безопасность, просто нет. Каждая компания борется с этой проблемой по своему».

Одновременно с этим уязвимость, которая позволяла потенциальным злоумышленникам осуществить атаку по стороннему каналу, была решена.

Как утверждают разработчики, в ходе тестирования ПО устройств Trezor исследователи Ledger обнаружили всего две уязвимости, которые злоумышленники все равно бы не смогли использовать. Однако они также были устранены.

Примечательно, что атака по стороннему каналу со скалярным произведением не может быть использована, поскольку злоумышленнику необходимо будет ввести PIN-код.

Пятая уязвимость, подверженная так называемой внезапной заключительной атаке, затрагивает все аппаратные устройства, добавили в Trezor, однако решается с помощью фразы-пароля.

Кроме того, все вышеперечисленные атаки требуют физического доступа к аппаратному кошельку и не могут быть осуществлены удаленно.

«Я бы хотел поблагодарить Ledger за демонстрацию атак, о которых мы знали с момента создания Trezor. Мы осознаем, что аппаратные устройства не могут быть полностью безопасны, поэтому мы ввели фразу-пароль. Кроме того, правдоподобное отрицание делает большинство физических атак неактуальными», — отметил CEO компании Satoshi Labs Марек «Slush» Палатинус.

13 марта также стало известно, что PR-фирма, представляющая интересы Ledger, пыталась договориться о публикации статьи об уязвимостях на Crypto Briefing. Последние отказались, поскольку восприняли это как неприкрытую атаку на конкурента.

0

Автор публикации

не в сети 2 дня

Cryptoconsulting

27
Комментарии: 0Публикации: 1402Регистрация: 11-07-2018
Главное, Новости
Авторизация
*
*
Регистрация
*
*
*
Пароль не введен
*
Генерация пароля