Криптографиялық аппараттық әмияндарды ұсынатын OneKey компаниясы өзінің микробағдарламасындағы ақауды түзетіп қойғанын айтты, бұл оның аппараттық әмияндарының бірінің бір секунд ішінде бұзылуына мүмкіндік берді.
Киберқауіпсіздік саласындағы Unciphered фирмасы 10 ақпанда YouTube сайтына жүктеп салынған бейнеде OneKey Mini құрылғысын «үлкен кемшілікті» пайдаланып, оны пайдалану арқылы «ашу» құралын тапқанын айтты.
Unciphered серіктесі Эрик Мичаудтың айтуынша, OneKey Mini құрылғысын «зауыттық режимге» қайтару және құрылғыны бөлшектеу және кодтауды енгізу арқылы қауіпсіздік пинін айналып өту мүмкін болды. Бұл әлеуетті шабуылдаушыға әмиянды қалпына келтіру үшін қолданылатын мнемоникалық фразаны жоюға мүмкіндік береді. Бұл құрылғыны «зауыттық режимге» қайтару арқылы мүмкін болды.
«Сізде орталық процессор, сондай-ақ қауіпсіздік элементі бар. Сіздің криптографиялық кілттеріңіз әрқашан қауіпсіз элементте сақталады. Мичо әдеттегі жағдайда өңдеу орындалатын орталық процессор (CPU) мен қауіпсіз элемент арасындағы байланыс шифрланғанын атап өтті.
«Ал, белгілі болғандай, бұл нақты жағдайда ол мұны істеу үшін жасалмаған. «Сіздің қолыңыздан келетін нәрсе - коммуникацияларды бақылайтын және оларды ұстайтын, содан кейін өз пәрмендерін енгізетін құралды ортаға қою», - деді ол және: «Бұл құпия сөз тіркестері мен негізгі қауіпсіздік тәжірибелерімен, тіпті физикалық шабуылдар арқылы ашылады. Шифрланбаған опция OneKey пайдаланушыларына әсер етпейді».
Компания осалдыққа қатысты болғанына қарамастан, Unciphered ашқан шабуыл векторын қашықтан пайдалану мүмкін емес екенін атап өтті. Оның орнына, ол орындау мүмкін болу үшін «құрылғыны бөлшектеуді және зертханадағы арнайы FPGA құрылғысы арқылы физикалық қол жеткізуді» қажет етеді.
OneKey мәліметінше, Unciphered-пен талқылаудан кейін басқа әмияндарда да осындай қиындықтар бар екені белгілі болды. Бұл басқа әмияндарда бірдей мәселе бар екені анықталған кезде ашылды.
OneKey олардың компанияның қауіпсіздігіне қосқан үлестері үшін алғыс білдіру тәсілі ретінде Unciphered сыйақыларын өтегенін айтты.
OneKey өз блогында өз тұтынушыларының қауіпсіздігін қамтамасыз ету үшін маңызды сақтық шараларын қабылдағанын айтты. Бұл сақтық шаралары тұтынушыларды жеткізу тізбегінің шабуылдарынан қорғауды қамтиды, олар хакер нақты әмиянды олардың бақылауындағы әмиянға ауыстырған кезде пайда болады.
Жеткізу тізбегінің қауіпсіздігін қатаң басқаруды қамтамасыз ету мақсатында Apple компаниясының жеке жеткізу тізбегінің қызмет провайдерлерін пайдаланумен қатар, жөнелтілімдерге арналған бұрмаланбаған қаптама OneKey қабылдаған қадамдардың бірі болды.
Олар жақын болашақта борттық аутентификацияны қосуға және жоғары деңгейдегі қауіпсіздік құрамдастары бар соңғы аппараттық әмияндарды жаңартуға ұмтылады.
OneKey айтқандай, аппараттық әмияндардың негізгі мақсаты әрқашан пайдаланушылардың қаржылық активтерін кибершабуылдардан, компьютерлік вирустардан және басқа ықтимал қауіптерден қорғау болып табылады; дегенмен, өкінішке орай, ештеңе толығымен қауіпсіз бола алмайды.
«Біз кремний кристалдарынан чип кодына дейін, микробағдарламадан бастап микробағдарламаға дейін аппараттық әмияндарды өндірудің бүкіл процесін қарастырған кезде. бағдарламалық қамтамасыз ету, кез келген аппараттық кедергіні жеткілікті ақша, уақыт және ресурстар арқылы бұзуға болады деп сенімді түрде айтуға болады; тіпті егер бұл ядролық қаруды басқару жүйесі болса да». «Біз кремний кристалдарынан чип кодына, микробағдарламадан бағдарламалық жасақтамаға дейін аппараттық әмияндарды өндірудің бүкіл процесін қарастырған кезде»,
Дереккөз: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked