OneKey, spoločnosť, ktorá poskytuje kryptografické hardvérové peňaženky, uviedla, že už opravila chybu vo svojom firmvéri, ktorá umožnila kompromitáciu jednej z jej hardvérových peňaženiek za menej ako jednu sekundu.
Unciphered, firma v oblasti kybernetickej bezpečnosti, vo videu, ktoré bolo nahrané na YouTube 10. februára, uviedla, že objavila spôsob, ako „rozbiť“ OneKey Mini využitím „obrovskej veľkej chyby“ a využiť ju.
Podľa Erica Michauda, partnera Unciphered, bolo možné vrátiť OneKey Mini do „továrenského režimu“ a obísť bezpečnostný kolík rozobratím zariadenia a vložením kódovania. To by potenciálnemu útočníkovi umožnilo odstrániť mnemotechnickú frázu, ktorá sa používa na obnovenie peňaženky. Bolo to možné vrátením zariadenia do „továrenského režimu“.
„Máte centrálnu procesorovú jednotku aj bezpečnostný prvok. Vaše kryptografické kľúče budú vždy uložené v zabezpečenom prvku. Michaud poznamenal, že v typickej situácii sú spojenia medzi centrálnou procesorovou jednotkou (CPU), kde prebieha spracovanie, a bezpečnostným prvkom šifrované.
"No, ako sa ukázalo, v tomto konkrétnom prípade to nebolo na to postavené." „Mohli by ste do stredu vložiť nástroj, ktorý monitoruje komunikáciu, zachytáva ju a potom vkladá svoje vlastné príkazy,“ povedal a dodal: „To znamená, že s heslami a základnými bezpečnostnými postupmi, dokonca aj fyzickými útokmi odhalenými Unciphered neovplyvní používateľov OneKey.“
Spoločnosť ďalej zdôraznila, že napriek skutočnosti, že sa zraniteľnosť týkala, vektor útoku, ktorý objavil Unciphered, nemožno použiť na diaľku. Namiesto toho si vyžaduje „demontáž zariadenia a fyzický prístup cez vyhradené zariadenie FPGA v laboratóriu“, aby bolo možné vykonať.
Podľa OneKey sa po diskusii s Unciphered zistilo, že iné peňaženky majú podobné problémy. Toto bolo zverejnené, keď sa zistilo, že iné peňaženky mali rovnaký problém.
OneKey povedal, že kompenzovali Unciphered odmenami ako spôsob vyjadrenia vďaky za ich príspevky k bezpečnosti spoločnosti.
OneKey v blogovom príspevku uviedol, že už prijal významné opatrenia na zaistenie bezpečnosti svojich zákazníkov. Tieto opatrenia zahŕňajú ochranu zákazníkov pred útokmi na dodávateľský reťazec, ku ktorým dochádza, keď hacker vymení skutočnú peňaženku za tú, ktorú má pod kontrolou.
Balenie zásielok odolné voči neoprávnenej manipulácii bolo jedným z krokov, ktoré podnikla spoločnosť OneKey, spolu s využitím vlastných poskytovateľov služieb dodávateľského reťazca spoločnosti Apple na účely zabezpečenia prísneho riadenia bezpečnosti dodávateľského reťazca.
Majú ambície pridať integrovanú autentifikáciu v nie príliš vzdialenej budúcnosti a aktualizovať novšie hardvérové peňaženky s bezpečnostnými komponentmi vyššej úrovne.
Podľa toho, čo povedal OneKey, primárnym cieľom hardvérových peňaženiek bolo vždy chrániť finančné aktíva používateľov pred kybernetickými útokmi, počítačovými vírusmi a inými potenciálnymi hrozbami; napriek tomu, žiaľ, nič nemôže byť úplne bezpečné.
„Keď sa pozrieme na celý výrobný proces hardvérových peňaženiek, od kremíkových kryštálov po kód čipu, od firmvéru po softvér, možno s istotou povedať, že akúkoľvek hardvérovú bariéru je možné prelomiť s dostatkom peňazí, času a zdrojov; aj keď je to systém kontroly jadrových zbraní.“ „Keď sa pozrieme na celý výrobný proces hardvérových peňaženiek, od kremíkových kryštálov po kód čipu, od firmvéru po softvér,“
Zdroj: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked