Ledger tiết lộ 5 lỗ hổng trong hai ví cứng của Trezor

Theo một báo cáo được công bố vào thứ hai (11/03), nhà sản xuất ví cứng Ledger đã tiết lộ một số lỗ hổng bảo mật trong các thiết bị của Trezor – một đối thủ lớn của công ty này.

Vào thời điểm báo chí, Trezor không có mặt ngay lập tức để bình luận về những phát hiện của Ledger.

Nghiên cứu nói rằng các lỗ hổng được tìm thấy bởi Attack Lab, một bộ phận của công ty chuyên đột nhập vào cả thiết bị của chính họ và của đối thủ cạnh tranh nhằm cải thiện tính bảo mật. Ledger tuyên bố rằng họ đã nhiều lần xâm nhập được và phát hiện những điểm yếu trong ví Trezor One và Trezor T của Trezor. Bây giờ, họ quyết định công khai chúng sau khi thời gian tiết lộ trách nhiệm kết thúc.

Vấn đề đầu tiên liên quan đến tính xác thực của các thiết bị. Theo nhóm Ledger, thiết bị của Trezor có thể được bắt chước bằng cách sao lưu thiết bị bằng phần mềm độc hại và sau đó niêm phong lại trong hộp của nó bằng cách giả mạo nhãn dán chống giả mạo. Ledger tuyên bố rằng lỗ hổng này chỉ có thể được khắc phục bằng cách đại tu lại thiết kế ví Trezor và đặc biệt là phải thay thế một trong các thành phần cốt lõi bằng chip Secure Element.

Thứ hai, nhóm Attack Lab đã đoán được trị số của mã PIN trên ví Trezor bằng cách sử dụng một cuộc tấn công kênh kề (side-channel attack) và báo cáo với Trezor vào cuối tháng 11 năm 2018. Công ty sau đó đã giải quyết vấn đề trong bản cập nhật firmware 1.8.0.

Lỗ hổng thứ ba và thứ tư mà Ledger cho biết có thể giải quyết bằng cách thay thế thành phần cốt lõi bằng chip Secure Element, bao gồm khả năng đánh cắp dữ liệu bí mật từ thiết bị. Ledger tuyên bố rằng kẻ tấn công có quyền truy cập vào Trezor One và Trezor T để trích xuất tất cả dữ liệu từ bộ nhớ flash và giành quyền kiểm soát tài sản được lưu trữ trên thiết bị.

Điểm yếu cuối cùng được phát hiện cũng liên quan đến vấn đề bảo mật của Trezor: theo Ledger, thư viện tiền điện tử của Trezor One không chứa các biện pháp thích hợp để đối phó chống lại các cuộc tấn công phần cứng. Nhóm nghiên cứu tuyên bố rằng một hacker có quyền truy cập vào thiết bị có thể trích xuất khóa bí mật thông qua một cuộc tấn công kênh kề, mặc dù Trezor đã tuyên bố rằng ví của họ có khả năng chống lại điều này.

Vào tháng 11 năm 2018, chính Trezor đã cảnh báo rằng một bên thứ ba không xác định đang phân phối các bản sao một-một của thiết bị Trezor One. Các ví giả dường như có nguồn gốc từ Trung Quốc, và do đó công ty kêu gọi các chủ sở hữu chỉ mua ví từ trang web của Trezor.

Tuy nhiên, trong báo cáo gần đây, Ledger tuyên bố rằng người dùng không thể được bảo đảm ngay cả khi họ mua ví cứng từ trang web chính thức của Trezor. Kẻ tấn công có thể mua một số thiết bị, sao lưu chúng và sau đó gửi lại cho nhà sản xuất yêu cầu hoàn tiền. Trong trường hợp thiết bị bị xâm nhập được bán lại, tiền điện tử của người dùng có thể bị đánh cắp, Ledger kết luận.

Vào tháng 11 năm 2018, nhóm nghiên cứu đằng sau dự án hack được gọi là Wallet.fail đã trình diễn cách họ hack Trezor One, Ledger Nano S và Ledger Blue tại hội nghị 35C3 Refreshing Memories. Cả Trezor và Ledger đều thừa nhận các lỗ hổng được tìm thấy. Sau đó, Trezor tuyên bố rằng bản cập nhật firmware sẽ giải quyết chúng, nhưng Ledger thì cho biết rằng những lỗi tìm được không hề nghiêm trọng đối với ví của họ.

Nguồn: Cointelegraph, Blogtienao

Biên soạn bởi VIC News

❤️ TÍN HIỆU & CÔNG CỤ GIAO DỊCH CRYPTO MIỄN PHÍ
❤️ ĐẦU TIÊN TRÊN THẾ GIỚI

⏩ Tín hiệu Chính Xác
⏩ Tỷ Lệ Thắng Cao
⏩ Theo Dõi Nhanh Chóng
⏩ Công Cụ Hiệu Quả

❤️ Chi tiết : https://vicion.app/index-vi.html
❤️ Android : https://play.google.com/store/apps/details… 
❤️ iOS : https://itunes.apple.com/app/id1399806253

Disclaimer: Bài viết chỉ nhằm mục đích cung cấp thông tin và không được coi là lời khuyên đầu tư. Đầu tư Crypto là một hình thức đầu tư mạo hiểm và người tham gia phải chịu hoàn toàn trách nhiệm với khoản đầu tư của mình. 

Follow us: Fanpage | Group FB | Group chat | Channel Analytics | Channel NFT Youtube