<small id="hjex1"></small>

        <tbody id="hjex1"></tbody>
      1. <menuitem id="hjex1"></menuitem>
        <menuitem id="hjex1"></menuitem>

          安基網 首頁 資訊 安全報 查看內容

          Ledger公布Trezor五大漏洞,硬件錢包安全團隊屢出奇招

          2019-3-13 09:32| 投稿: xiaotiger |來自: 互聯網


          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

          摘要: 在加密貨幣的世界里,存幣安全始終是用戶關注的重點。硬件錢包被視為可確保加密資產安全的一大選擇,其中又數Ledger和Trezor等最為知名。為了保證其產品安全,這些硬件錢包研發團隊也都是各出奇招。Ledger就成立了一個黑客實驗室,專門負責入侵本公司以及其他硬件錢包商的產品,以測試其安全性。今日, ...

          在加密貨幣的世界里,存幣安全始終是用戶關注的重點。硬件錢包被視為可確保加密資產安全的一大選擇,其中又數Ledger和Trezor等最為知名。為了保證其產品安全,這些硬件錢包研發團隊也都是各出奇招。Ledger就成立了一個黑客實驗室,專門負責入侵本公司以及其他硬件錢包商的產品,以測試其安全性。

          今日,Ledger在官網中公布了其發現的Trezor產品的五個漏洞。該公司表示在四個月以前已經發現這些漏洞,根據漏洞披露規則,也已經全部告知Trezor。在披露期過后,Ledger才公開了其發現的漏洞以及修復情況。

          不過,Ledger公布的這些漏洞雖然確有其事,但只要攻擊者沒有真正拿到用戶的硬件錢包,其基本上無計可施。盡管如此,硬件錢包作為存幣的重要入口之一,其安全性依然不容小覷。

          以下為Ledger公布的完整漏洞細節:

          安全是Ledger的重中之重——扎根于我們銷售的每一件產品以及做出的每一個決定。每一天,我們都在挑戰自己,創造更好、更安全的技術和產品。

          我們的首要任務是通過Ledger的硬件錢包、物聯網和機構投資產品,為客戶提供最先進的安全保障。然而,作為區塊鏈安全解決方案的全球領軍者,我們認為對安全的承諾不應該僅限于我們自身。我們擁有世界上最創新的技術和無與倫比的團隊,我們有責任在任何可能的情況下提高整個區塊鏈生態系統的安全性。對安全的共同承諾不僅能更好地保護個人和機構的資產,而且有助于在整個加密領域建立迫切需要的信任。

          正如我們在之前的文章中說的那樣:

          我們有責任在任何可能的情況下提高整個區塊鏈生態系統的安全性。

          Ledger的世界級安全團隊Ledger Donjon在我們的巴黎總部設有一個Attack Lab,我們在那里入侵自己以及競爭對手的設備,披露安全漏洞。

          考慮到整個社區的安全性,我們還共享了我們部署的工具和最佳方式,比如我們的側通道分析庫Lascar和模擬工具Rainbow。

          我們一直試圖入侵自己的設備,以確保我們保持最高的安全標準,并搶在越來越老練的攻擊者前面掌握新手法。我們將同樣的方法用在了競爭對手的設備上,因為我們在確保整個行業的高水平安全性方面負有共同的責任。

          在研究競爭產品的安全性時,我們始終遵循負責的披露原則,告知受影響方我們的實驗室發現的任何漏洞,并給他們時間來尋找解決方案。在公開任何信息之前,遵循披露協議是很重要的,這樣才能確保在問題得到解決之前,黑客不會利用相關漏洞。

          值得注意的是,大約四個月前,我們聯系了Trezor,分享了我們的實驗室發現的五個漏洞。和往常一樣,我們給Trezor一段時間來處理這些漏洞,甚至給了他們兩次延期的機會。

          本次分析包括Trezor的兩個硬件錢包(Trezor One和Trezor T),Trezor One是其中的重點。這也適用于Trezor錢包的仿造品。我們向供應商披露了這些漏洞,允許他們采取適當措施保護用戶。如今披露期(包括兩次延期)已經結束,我們希望本著充分了解和透明的精神與你們分享細節。

          Trezor安全分析

          漏洞1:設備的真實性(Genuineness)

          (圖1:用加熱的手術刀移除Trezor的安全封口)

          概述

          設備的真實性是確保其是否可靠的重要屬性。

          分析

          我們的分析發現Trezor設備是可以偽造的。我們能夠偽造設備,這些設備完全是真品的復制品(相同的配件、相同的硬件架構、相同的外觀和觸感)。我們還能拆開設備,設置后門,并重新進行密封(即使有“防篡改標簽”也無濟于事)。

          在這種情況下,攻擊者可以完全控制仿冒設備的代碼。舉個例子,攻擊者可以做到:

          1. 預先在設備中添加秘鑰

          2. 在設備中添加后門,安裝惡意軟件,將加密資產發送到其他地址

          3. 安裝密碼漏洞以獲取加密資產

          4. 添加后門,安裝惡意軟件以提取秘鑰

          (圖2:一個預先添加好秘鑰的Trezor——和正品看起來一模一樣)

          即使用戶直接從Trezor的官網購買設備,其也不能確定是否正品。攻擊者完全可以購買多個設備,添加后門,然后將它們發送回去要求退款。

          結果:這個漏洞已經報給了Trezor, Trezor表示這并非他們的安全模型,并指出如果用戶直接從Trezor網站購買他們的產品(就像Trezor建議的那樣),就不會存在這個問題。我們認為,只有修改Trezor One的設計并用安全的元件芯片替換其中一個核心組件,而不是目前使用的通用芯片,才能修復這個漏洞。據我們所知,這一漏洞在本文發表時仍然存在。

          漏洞2:PIN(個人識別碼)保護

          (圖3:猜測PIN碼)

          概述

          PIN碼用于訪問設備,從而訪問受該設備保護的資金。當前設備給了用戶15次嘗試機會,等待時間呈指數級增長。這個功能應該是防篡改的。

          分析

          據我們的安全分析,在目標或被盜的設備上,有可能使用側通道攻擊(Side Channel Attack)來猜測PIN的值。這種攻擊模式會給出一個隨機PIN碼,在與PIN碼實際值進行對比的過程中測試設備的能耗。在測試的過程中,攻擊者只需要幾次嘗試(經我們測試不超過5次)就可以獲得正確的PIN碼。我們發現一旦攻擊者取得設備,PIN碼無法保護資金安全。

          結果:在2018-11-20報給了Trezor。此漏洞已由Trezor在固件更新1.8.0中修復。

          漏洞3&4:設備內部數據保密性(適用于Trezor One以及Trezor T)

          概述

          設備內部數據的保密性是至關重要的,因為它包含所有可以訪問用戶資金的私人信息:私鑰、種子。硬件錢包必須充當此類數據的安全領土。

          分析

          據分析,取得設備的攻擊者可以提取閃存中存儲的所有數據(因此會耗盡所有帳戶的資產)。我們的攻擊也適用于Trezor One和Trezor T。

          結果:已經報給Trezor。我們認為這一漏洞不可能修復,除非修改Trezor One或Trezor T的設計并用安全的元件芯片替換其中一個核心組件,而不是目前使用的通用芯片,才能修復這個漏洞。此漏洞無法修補——因此,我們選擇不披露其技術細節。用戶還可以通過在設備中添加安全系數較高的密碼來緩解這種情況。

          漏洞5:密碼堆棧分析

          概述

          我們對Trezor One的加密代碼庫進行了分析。雖然我們發現除了標量乘法(Scalar Multiplication)函數之外,這個庫沒有包含針對硬件攻擊的適當對策(這可能會引起關注),但是我們主要關注前面提到的標量乘法。這個函數是加密貨幣的主要密碼運作,因為它用于涉及秘鑰的大多數關鍵操作。這個函數可用于防止側通道攻擊,此類攻擊也是我們想要評估的。

          分析

          據分析,取得設備的攻擊者可以通過側通道攻擊提取秘鑰,前提是該秘鑰使用標量乘法函數。標量乘法是加密貨幣密碼學的核心函數之一。對于交易簽名來說尤其重要。我們利用數字示波器和一些測量數據,證明了利用側通道分析提取交易秘鑰是可行的。

          結果:這個漏洞被報告給了Trezor。這個漏洞可以修補,但也不會直接影響Trezor的安全模型,因為如果事先不知道設備的PIN,就無法觸發這個操作。然而,對方聲稱其是安全的,以抵御側通道攻擊,不幸的是,事實完全相反。

          這是具體的漏洞以及修復情況。

          (來源:Ledger)



          小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

          本文出自:https://www.toutiao.com/a6667440572606710280/

          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


          鮮花

          握手

          雷人

          路過

          雞蛋

          相關閱讀

          最新評論

           最新
          返回頂部
          北京赛车高手经验分享