Krüptograafilisi riistvarataskuid pakkuv ettevõte OneKey on öelnud, et on juba parandanud oma püsivara vea, mis võimaldas ühe tema riistvarakottidest ohustada vähem kui ühe sekundiga.
Küberturvalisuse valdkonna ettevõte Unciphered ütles 10. veebruaril YouTube'i üles laaditud videos, et on avastanud vahendi OneKey Mini "avamiseks", kasutades ära "massiivset suurt viga" ja seda ära kasutades.
Uncipheredi partneri Eric Michaudi sõnul oli võimalik OneKey Mini naasta tehaserežiimi ja turvanööpnõelast mööda minna, võttes seadme lahti ja sisestades kodeeringu. See võimaldaks potentsiaalsel ründajal eemaldada rahakoti taastamiseks kasutatava mnemofraasi. See sai võimalikuks, kui seade naasis tehaserežiimi.
„Teil on nii keskseade kui ka turvaelement. Teie krüptovõtmed salvestatakse alati turvalises elemendis. Michaud märkis, et tüüpilises olukorras krüpteeritakse ühendused keskprotsessori (CPU), kus töötlus toimub, ja turvalise elemendi vahel.
"Noh, nagu selgub, antud konkreetsel juhul ei olnud see selleks loodud. "Mida saate teha, on panna keskele tööriist, mis jälgib sidet ja pealtkuulab neid ning seejärel sisestab oma käsklused," ütles ta ja lisas: "Seejuures on paroolifraaside ja põhiliste turvatavade puhul isegi füüsilised rünnakud avalikustatud. Uncrypted ei mõjuta OneKey kasutajaid.
Ettevõte rõhutas, et hoolimata haavatavusest ei saa Uncipheredi avastatud ründevektorit eemalt kasutada. Selle asemel on selle teostamiseks vaja "seadme lahtivõtmist ja füüsilist juurdepääsu spetsiaalse FPGA-seadme kaudu laboris".
OneKey sõnul avalikustati pärast arutelu Uncipherediga, et sarnaseid raskusi on leitud ka teistel rahakottidel. See avalikustati, kui avastati, et sama probleem oli ka teistel rahakottidel.
OneKey ütles, et nad on Uncipheredile hüvitisi maksnud, et väljendada tänu oma panuse eest ettevõtte turvalisusesse.
OneKey on oma ajaveebipostituses öelnud, et on juba võtnud olulisi ettevaatusabinõusid oma klientide ohutuse tagamiseks. Need ettevaatusabinõud hõlmavad klientide kaitsmist tarneahela rünnakute eest, mis tekivad siis, kui häkker asendab tõelise rahakoti nende kontrolli all oleva rahakoti vastu.
Saadetiste võltsimiskindel pakend on olnud üks OneKey sammudest koos Apple'i enda tarneahela teenusepakkujate kasutamisega, et tagada tarneahela turbehaldus.
Neil on soov lisada lähitulevikus sisseehitatud autentimine ja värskendada uuemaid riistvarakotte kõrgema taseme turvakomponentidega.
OneKey öeldu kohaselt on riistvaraliste rahakottide peamine eesmärk alati olnud kaitsta kasutajate finantsvarasid küberrünnakute, arvutiviiruste ja muude võimalike ohtude eest; sellegipoolest ei saa kahjuks miski olla täiesti kindel.
"Kui me vaatame kogu riistvarakottide tootmisprotsessi, alates ränikristallidest kuni kiibikoodini, alates püsivarast kuni tarkvara, võib kindlalt öelda, et piisava raha, aja ja ressurssidega saab ületada mis tahes riistvarabarjääri; isegi kui see on tuumarelvajuhtimissüsteem. "Kui vaatame kogu riistvararahakottide tootmisprotsessi, ränikristallidest kiibikoodini, püsivarast tarkvarani,"
Allikas: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked