安全丨Ledger披露Trezor五大漏洞

imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...

原文:《五大漏洞公布,硬件钱包安全团队屡屡拿出让人意外的解决方案》

im硬件钱包哪里购买

原文链接:今日头条

imkey硬件钱包使用教程

在加密货币的世界里,币的存储安全一直是用户关注的焦点,硬件钱包被认为是保障加密资产安全的一大选择,其中最为知名的当属树和等公司。为了保障产品安全,这些硬件钱包研发团队也想出了自己的独特思路,专门成立了黑客实验室,专门对公司及其他硬件钱包厂商的产品进行黑客攻击,测试其安全性。

imkey硬件钱包有啥作用

image

今天,该公司在官方网站公布了其产品中发现的五个漏洞,并表示四个月前就发现了这些漏洞,并已按照漏洞披露规则向所有人通报,在披露期结束后才将发现的漏洞和已修复的漏洞公开。

不过,这些漏洞虽然真实存在imToken官网下载,但只要攻击者没有真正拿到用户的硬件钱包,基本就无能为力。尽管如此,作为储币的重要入口之一,硬件钱包的安全性还是不容小觑。

以下是已发布的完整漏洞详细信息:

安全是我们的首要任务 — 融入我们销售的每一款产品和我们做出的每一个决定之中。每天,我们都在挑战自己,以创造更好、更安全的技术和产品。

我们的首要任务是通过我们的硬件钱包、物联网和机构投资产品为客户提供最先进的安全保障。然而,作为区块链安全解决方案的全球领导者,我们认为我们对安全的承诺不应仅限于我们自己。凭借世界上最具创新性的技术和无与伦比的团队,我们有责任尽可能提高整个区块链生态系统的安全性。共同致力于安全不仅可以更好地保护个人和机构的资产,而且还有助于在加密领域建立急需的信任。

正如我们在之前的文章中所说:

我们有责任尽可能提高整个区块链生态系统的安全性。

我们世界一流的安全团队在巴黎总部运营着一个实验室,在那里我们侵入我们自己和竞争对手的设备并披露安全漏洞。

考虑到整个社区的安全,我们还分享我们部署的工具和最佳实践,例如我们的侧信道分析库和模拟工具。

我们不断尝试入侵自己的设备,以确保我们保持最高的安全标准,并在攻击者越来越精明地寻求新技术时保持领先。我们对竞争对手的设备也采取同样的方法,因为我们肩负着共同的责任,确保整个行业的高安全水平。

在研究竞争产品的安全性时,我们始终遵循负责任的披露原则,将实验室发现的任何漏洞告知受影响方,并给他们时间找到解决方案。在公开任何信息之前,务必遵循披露协议,以确保黑客在问题解决之前无法利用该漏洞。

值得一提的是,大约四个月前,我们联系并分享了我们实验室发现的五个漏洞,像往常一样,我们给了一些时间来处理这些漏洞,甚至给了他们两次延期。

本次分析包括两个硬件钱包(One 和 T),重点关注 One。这也适用于钱包的克隆版本。我们向供应商披露了这些漏洞,以便他们采取适当措施保护用户。现在披露期(包括两次延期)已经结束,我们希望本着充分了解和透明的精神与您分享详细信息。

证券分析

漏洞1:设备真实性()

image

(图1:用加热手术刀拆除安全封条)

概述

设备的真实性是确保其可靠性的重要属性。

分析

我们的分析发现这些设备是伪造的。我们能够伪造与真品完全相同的设备(相同的组件、相同的硬件架构、相同的外观和感觉)。我们还能够拆卸这些设备,为其安装后门imtoken硬件钱包购买,然后重新密封(甚至贴上“防篡改标签”)。

在这种情况下,攻击者可以完全控制假冒设备的代码。例如,攻击者可以:

将密钥预先添加到设备

在设备中添加后门、安装恶意软件、将加密资产发送到其他地址

安装加密漏洞以获取加密资产

添加后门并安装恶意软件以提取密钥

image

(图 2:预先添加密钥的版本 - 看起来与原始版本一模一样)

即使用户直接从官方网站购买设备,他们也无法确定它是正品。攻击者可以简单地购买多台设备,添加后门,然后将其退回以获得退款。

结果:此漏洞已报告给 ,其中指出这不属于其安全模型的一部分,并指出如果用户直接从网站购买其产品(按照建议),则不存在此问题。我们认为,只有通过修改 One 的设计并用安全元件芯片(而不是当前使用的通用芯片)替换其中一个核心组件才能修复此漏洞。据我们所知,此漏洞在发布时仍然存在。

漏洞2:PIN(个人识别码)保护

image

(图3:猜测PIN码)

概述

PIN 用于访问设备,从而访问受该设备保护的资金。当前设备为用户提供 15 次尝试机会,等待时间呈指数级增长。此功能应具有防篡改功能。

分析

根据我们的安全分析,有可能使用旁道攻击来猜测目标或被盗设备上的 PIN 值。这种攻击模式会给出一个随机的 PIN 码,并在将其与实际 PIN 码值进行比较的过程中测试设备的能耗。在测试过程中,攻击者只需要几次尝试(在我们的测试中不超过 5 次)即可获得正确的 PIN 码。我们发现,一旦攻击者获得了设备的访问权限,PIN 码就无法保护资金的安全。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

返回顶部
跳到底部

Copyright © 2002-2024 imToken钱包下载官网 Rights Reserved.
备案号:晋ICP备13003952号

谷歌地图 | 百度地图
Powered by Z-BlogPHP Theme By open开发