OneKey крипто-аппараттық әмиян провайдері өзінің микробағдарламасындағы осалдықты шешкенін айтады, бұл оның аппараттық әмияндарының біреуін бір секунд ішінде бұзуға мүмкіндік берді.
YouTube желісіндегі бейне орналастырды 10 ақпанда Unciphered киберқауіпсіздік стартапы OneKey Mini-ді «жарып ашуға» мүмкіндік беретін «Жаппай маңызды осалдықты» пайдаланудың жолын тапқанын көрсетті.
Unciphered серіктесі Эрик Мичаудтың айтуынша, құрылғыны бөлшектеу және кодтауды енгізу арқылы OneKey Mini құрылғысын «зауыттық режимге» қайтаруға және қауіпсіздік пинін айналып өтуге болады. әмиян.
«Сізде процессор және қауіпсіз элемент бар. Қауіпсіз элемент - бұл сіздің крипто кілттеріңізді сақтайтын жер. Енді, әдетте, коммуникациялар өңдеу орындалатын процессор мен қауіпсіз элемент арасында шифрланады», - деп түсіндірді Мичо.
«Бұл жағдайда олай жасау үшін жасалмағаны белгілі болды. Сонымен, сіз жасай алатын нәрсе - байланыстарды бақылайтын және оларды ұстап тұратын, содан кейін өз командаларын енгізетін құралды ортаға қою », - деді ол:
«Біз мұны қауіпсіз элементке зауыттық режимде екенін айтатын жерде жасадық және біз сіздің мнемоникаңызды, яғни криптодағы ақшаңызды алып тастай аламыз».
Дегенмен, 10 ақпандағы мәлімдемесінде OneKey мұның бұрыннан бар екенін айтты жүгінді Unciphered анықтаған қауіпсіздік кемшілігі, оның аппараттық тобы қауіпсіздік патчын «осы жылдың басында ешкімге әсер етпестен» жаңартқанын және «барлық ашылған осалдықтардың жойылғанын немесе түзетіліп жатқанын» атап өтті.
Қауіпсіздікті түзету туралы соңғы есептерге біздің жауабымыз https://t.co/Dp9nNp1D0U
— OneKey ашық бастапқы әмиян (@OneKeyHQ) Ақпан 10, 2023
«Бұл құпия сөз тіркестерімен және негізгі қауіпсіздік тәжірибелерімен, тіпті Unciphered ашқан физикалық шабуылдар OneKey пайдаланушыларына әсер етпейді».
Компания бұдан әрі осалдыққа қатысты болғанымен, Unciphered анықтаған шабуыл векторын қашықтан пайдалануға болмайтынын және «орындау үшін құрылғыны бөлшектеуді және зертханадағы арнайы FPGA құрылғысы арқылы физикалық қол жеткізуді» қажет ететінін атап өтті.
OneKey мәліметінше, Unciphered-пен хат алмасу кезінде басқа да әмияндардың болғаны белгілі болды ұқсас мәселелер бар екені анықталды.
«Біз сондай-ақ OneKey қауіпсіздігіне қосқан үлестері үшін алғыс білдіру үшін Unciphered сыйақыларын төледік», - деді OneKey.
Блог жазбасында OneKey пайдаланушылардың қауіпсіздігін қамтамасыз ету, соның ішінде оларды қауіп-қатерден қорғау үшін көп күш жұмсағанын айтты. жеткізу тізбегі шабуылдары — хакер шынайы әмиянды олар басқаратын әмиянға ауыстырғанда.
OneKey шаралары жеткізілімдер үшін бұрмаланбайтын қаптаманы және жеткізілім тізбегі қауіпсіздігін қатаң басқаруды қамтамасыз ету үшін Apple жеткізу тізбегінің қызмет провайдерлерін пайдалануды қамтиды.
Болашақта олар борттық аутентификацияны енгізуге және жоғары деңгейлі қауіпсіздік құрамдастары бар жаңа аппараттық әмияндарды жаңартуға үміттенеді.
OneKey басты деп жазды аппараттық әмияндардың мақсаты әрқашан пайдаланушылардың ақшасын зиянды бағдарлама шабуылдарынан, компьютерлік вирустардан және басқа қашықтағы қауіптерден қорғауға тырысты, бірақ өкінішке орай, ештеңе 100% қауіпсіз бола алмайды.
«Кремний кристалдарынан чип кодына, микробағдарламадан бағдарламалық жасақтамаға дейінгі бүкіл аппараттық әмиянды өндіру процесін қарастырған кезде, жеткілікті ақша, уақыт және ресурстар болса да, ядролық қару болса да, кез келген аппараттық кедергіні бұзуға болады деп сенімді түрде айтуға болады. бақылау жүйесі».
Дереккөз: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second