شبكة الحرة بلغ مضادة

تريزور يرد على مزاعم ضعف ليدجر

اتهم ليدجر منافسه Trezor بالأمس بوجود ثغرات 5 ، بعضها لم يتم إصلاحه بعد. تقرير يومي. بالأمس ، رد تريزور على هذه المزاعم بلوق وظيفة. أجاب تريزور على جميع نقاط الضعف الخمسة التي اتهمهم ليدجر بعدم إصلاحها.

هجوم سلسلة التوريد

كتب ليدجر يوم الاثنين أن „[أ] يمكن للمهاجم شراء عدة أجهزة ، وإدارتها خلفها ، ثم إرسالها مرة أخرى لطلب التعويض (باستخدام فترة الانسحاب)) ".

أجاب "صانع محفظة الأجهزة التشيكية" بطريقة عامة بقوله "Sتعتبر هجمات السلسلة السهلة مشكلة أبدية لجميع الأجهزة (وليس فقط محافظ).ومن المثير للاهتمام أن تريزور لم يوضح أن محافظ ليدجر عرضة لنفس الهجمات. لأن هذا هو ما يحاول ليدجر اقتراحه.

تأمين حماية PIN

الضعف الثاني ، الذي استشهد ليدجر تحت "حماية PIN الآمنة"، ليست نقطة ضعف حقيقية كما يشير تريزور تحت „هجوم البرمجيات كريبي ": „أثناء اختبار قاعدة بيانات Trezor ، لم يجد الباحثون في Ledger سوى قضيتين ، مما يؤكد أن الكود الخاص بنا يقف بقوة ضد العناصر الخبيثة. على الرغم من أن نقاط الضعف هذه كانت غير قابلة للاستغلال ، إلا أننا قمنا بإصلاحها على أي حال. "

هجوم قناة جانبية

الثغرة الثالثة هي ما يسمى هجوم القناة الجانبية الذي يتطلب الوصول الفعلي إلى الجهاز. يشيد تريزور ليدجر لأنه أجرى بنجاح مثل هذا الهجوم. ومع ذلك ، يزعمون ذلك was [t] تم إغلاق ناقل الهجوم الخاص به عن طريق إعادة تحميل الطريق لتخزين البيانات على Trezor Model T إلى Trezor One. "

هجوم القناة الجانبية الضرب العددي

تتطلب الثغرة الرابعة التي يطلق عليها "مضاعفة عدد الهجمات الجانبية للقنوات الجانبية" للمهاجمين الوصول إلى الرقم السري وكلمة المرور وجهاز المستخدم. لذلك ، يخلص تريزور:[H] الاستفادة من كل هذا يمكن للمهاجم إرسال جميع الأموال من الجهاز على أي حال. "

الهجوم الختامي المفاجئ

الضعف الأخير ليدجر المبلغ عنها هو الهجوم الختامي المفاجئ. ثغرة أمنية لا تتعلق فقط بمحافظ الأجهزة. وفقًا لمدونة Trezor ، فقد فوجئت الشركة بإعلان Ledger عن هذه المشكلة. "خاصة بعد أن طلب Ledger صراحةً عدم الإعلان عن المشكلة ، نظرًا لتداعياتها المحتملة على صناعة شرائح الرقائق بالكامل ، باستثناء محافظ الأجهزة ، مثل الصناعات الطبية والسيارات. "

كما ذكرت الشركة التشيكية أنها تجري محادثات مع الشركة المصنعة لرقائقها (ST). لذلك ، فإنه يؤكد أنه لا يستطيع تقديم أي تفاصيل أخرى.

أغلقت Trezor منشور المدونة الخاص بها بالإشارة إلى أنه "لا يمكن اختراق الأجهزة ، واعتمادًا على ماهية نموذج الأمان الخاص بك ، هناك أدوات يمكنك استخدامها للتخفيف من التهديدات" ، ومن خلال تزويد المستخدمين ببعض النصائح النهائية للاستخدام الآمن من Trezors بهم.

السابق "
التالى »