Trezor responde a las acusaciones de vulnerabilidad de Ledger

Ledger acusó ayer a su competidor Trezor de las vulnerabilidades de 5, algunas de las cuales aún no ha solucionado. Informamos ayer sobre esto en nuestra Resumen diario. Ayer, Trezor respondió a las denuncias con un entrada en el blog. Trezor respondió a las cinco vulnerabilidades que Ledger los acusó de no haber solucionado.

Ataque de la cadena de suministro

Ledger escribió el lunes que „[un] n el atacante podría comprar varios dispositivos, hacer una puerta trasera y luego enviarlos de vuelta para pedir un reembolso (usando el período de retiro)).

El fabricante checo de carteras de hardware respondió de manera general afirmando que “SLos Ataques en Cadena de upply son un problema eterno para todos los dispositivos de hardware (no solo las billeteras)."Curiosamente, Trezor no señaló que las billeteras Ledger son susceptibles a los mismos ataques. Como esto es lo que Ledger está tratando de sugerir.

Protección segura de PIN

La segunda vulnerabilidad, que Ledger citó en „Protección segura de PIN“, no es una vulnerabilidad real como señala Trezor en „Software Crappy Attack ": „Durante las pruebas de código base de Trezor, los investigadores de Ledger solo encontraron dos problemas, lo que confirma que nuestro código se mantiene firme contra los actores maliciosos. Aunque estas vulnerabilidades no se podían explotar, las arreglamos de todas formas ".

Ataque lateral del canal

La tercera vulnerabilidad es el llamado ataque de canal lateral que requiere acceso físico a un dispositivo. Trezor elogia a Ledger por haber conducido exitosamente tal ataque. Sin embargo, afirman que „[T] su vector de ataque se cerró mediante una copia de seguridad de la forma en que se almacenan los datos del Trezor Model T a Trezor One".

Side Channel Attack Multiplicacion escalar

La cuarta vulnerabilidad denominada "Multiplicación escalar de ataque de canal lateral" requiere que un atacante tenga acceso al PIN, la contraseña y el dispositivo de un usuario. Por lo tanto, Trezor concluye:[H] A pesar de todo esto, el atacante puede enviar todos los fondos desde el dispositivo de hardware de todos modos ".

Sorprendente ataque final

La última vulnerabilidad reportada por Ledger es el ataque sorpresa final. Una vulnerabilidad que no solo afecta a las carteras de hardware. De acuerdo con la publicación del blog de Trezor, la compañía se mostró "sorprendida por el anuncio de este problema por parte de Ledger". Especialmente después de que "Ledger le pidió explícitamente que no publicara el problema, debido a posibles implicaciones para toda la industria de los microchips, más allá de las carteras de hardware, como la Industrias médicas y de automoción.

La compañía checa afirma además que está en conversaciones con el fabricante de sus chips (ST). Por lo tanto, asegura que no podría proporcionar más detalles.

Trezor cerró su publicación en el blog indicando que "[n] o el hardware no es compatible, y dependiendo de cuál sea su modelo de seguridad, hay herramientas que puede usar para mitigar las amenazas" y al dar a sus usuarios algunos consejos finales para el uso seguro. de sus trezors.

Anterior «
Siguiente »