free web hit counter

Trezor reagiert auf die Vorwürfe der Ledger-Schwachstelle

Ledger beschuldigte seinen Konkurrenten Trezor gestern vor 5-Schwachstellen, von denen einige noch nicht behoben wurden. Wir haben gestern in unserem Bericht darüber berichtet Tägliche Zusammenfassung. Gestern antwortete Trezor mit einem Blog-Post. Trezor antwortete auf alle fünf Schwachstellen, die Ledger ihnen vorwarf, nicht behoben worden zu sein.

Angriff auf die Lieferkette

Ledger schrieb am Montag, dass „Ein Angreifer konnte mehrere Geräte kaufen, sie durch die Hintertür schließen und dann zurücksenden, um eine Erstattung zu verlangen (unter Verwendung der Auszahlungsfrist)). “

Der tschechische Geldbörsenhersteller antwortete allgemein mit der Feststellung, dass „SKettenangriffe sind ein permanentes Problem für alle Hardware-Geräte (nicht nur für Geldbörsen).„Interessanterweise hat Trezor nicht darauf hingewiesen, dass die Ledger-Brieftaschen für die gleichen Angriffe anfällig sind. Dies ist, was Ledger vorschlägt.

Sicherer PIN-Schutz

Die zweite Schwachstelle, die Ledger unter zitierte „Sicherer PIN-Schutz“ist keine echte Schwachstelle, wie Trezor unter „Software Crappy Attack “: „Während des Trezor-Codebasis-Tests haben Ledger-Forscher nur zwei Probleme gefunden, die bestätigen, dass unser Code gegen böswillige Akteure stark ist. Obwohl diese Schwachstellen nicht ausnutzbar waren, haben wir sie trotzdem behoben. “

Seitenkanalangriff

Die dritte Schwachstelle ist ein sogenannter Side Channel Attack, bei dem physischer Zugriff auf ein Gerät erforderlich ist. Trezor lobt Ledger für den erfolgreichen Angriff. Das behaupten sie jedoch „[T] sein Angriffsvektor wurde durch die Rückportierung des Datenspeichers von Trezor Model T auf Trezor One geschlossen.“

Seitenkanalangriffskalar-Multiplikation

Die vierte Schwachstelle mit der Bezeichnung „Side Channel Attack Scalar Multiplication“ setzt voraus, dass ein Angreifer Zugriff auf PIN, Kennwort und das Gerät eines Benutzers hat. Daher schließt Trezor: „[H] Bei all dem kann der Angreifer ohnehin alle Gelder von der Hardwarevorrichtung senden. “

Überraschung abschließender Angriff

Die letzte gemeldete Sicherheitslücke ist der Überraschungsabschlussangriff. Eine Sicherheitsanfälligkeit, die nicht nur Hardware-Wallets betrifft. Laut Trezors Blogpost war das Unternehmen „von Ledgers Ankündigung dieser Ausgabe überrascht“. Insbesondere, nachdem „Ledger explizit aufgefordert wurde, die Ausgabe nicht zu veröffentlichen, da mögliche Auswirkungen auf die gesamte Mikrochipbranche außerhalb der Hardware-Geldbörsen wie der Medizin- und Automobilindustrie. “

Das tschechische Unternehmen gibt außerdem an, mit dem Hersteller seiner Chips (ST) zu sprechen. Dadurch wird sichergestellt, dass keine weiteren Details angegeben werden konnten.

Trezor schloss seinen Blogbeitrag mit dem Hinweis, dass [n] o Hardware nicht aushackbar ist, und je nach Sicherheitsmodell gibt es Tools, mit denen Sie Bedrohungen abschwächen können, und indem Sie den Benutzern abschließende Tipps zur sicheren Verwendung geben ihrer Trezors.

früher "
Weiter »