web hit counter percuma

Trezor Menjawab Tuduhan Kelemahan Ledger

Ledger menuduh pesaingnya Trezor semalam mengenai kelemahan 5, beberapa daripadanya belum lagi diperbetulkan Kami melaporkan semalam tentang perkara ini dalam Roundup harian. Semalam, Trezor bertindak balas dengan tuduhan itu dengan blog post. Trezor menjawab kepada lima kelemahan bahawa Ledger menuduh mereka tidak menetapkan.

Serangan Rantaian Bekalan

Ledger menulis pada hari Isnin bahawa "Penyerang [a] n boleh membeli beberapa peranti, backdoor mereka, dan kemudian menghantarnya kembali meminta pembayaran balik (menggunakan tempoh pengeluaran). "

Pengeluar Wallet Perkakasan Cakera Czech dijawab secara umum dengan menyatakan bahawa "SSerangan Rantaian yang meningkat adalah masalah yang kekal untuk semua peranti perkakasan (bukan sahaja dompet)."Menariknya, Trezor tidak menunjukkan bahawa dompet Ledger mudah terdedah kepada serangan yang sama. Kerana inilah yang dirujuk oleh Ledger.

Perlindungan PIN selamat

Kelemahan kedua, yang Ledger dipetik di bawah "Perlindungan PIN selamat", tidak ada kelemahan sebenar seperti yang ditunjukkan oleh Trezor di bawah "Perisian Crappy Attack ": "Semasa pengujian kod Trezor, penyelidik Ledger hanya menemui dua isu, mengesahkan bahawa kod kami teguh terhadap pelakon yang berniat jahat. Walaupun kerentanan ini tidak dapat dikekalkan, kami tetap menetapkannya. "

Serangan Channel Side

Kelemahan ketiga adalah Serangan Channel Side yang memerlukan akses fizikal ke peranti. Trezor memuji Ledger kerana berjaya melakukan serangan sedemikian. Walau bagaimanapun, mereka mendakwa bahawa "[T] vektor serangannya ditutup dengan membalikkan cara untuk menyimpan data pada Trezor Model T ke Trezor One."

Multiplikasi Skalar Serangan Saluran Side

Kerentanan keempat yang digelar "Skalar Multiplikasi Serangan Saluran Side" memerlukan penyerang untuk mempunyai akses kepada pin, kata laluan dan peranti pengguna. Oleh itu, Trezor menyimpulkan: "[H] menyalahkan semua ini penyerang boleh menghantar semua dana dari peranti perkakasan pula. "

Serangan Kesimpulan Kejutan

Ledger terdahulu yang dilaporkan adalah Serprise Concatch Attack. Kerentanan yang tidak hanya melibatkan dompet perkakasan. Menurut catatan blog Trezor, syarikat tersebut "terkejut dengan pengumuman Ledger tentang isu ini." Terutamanya selepas "secara terang-terangan ditanya oleh Ledger untuk tidak mempublikasikan isu itu, disebabkan implikasi yang mungkin berlaku untuk keseluruhan industri mikrochip, di luar dompet perkakasan, seperti industri perubatan dan automotif. "

Syarikat Czech selanjutnya menyatakan bahawa ia sedang berbincang dengan pengeluar kerepeknya (ST). Oleh itu, ia memberi jaminan bahawa ia tidak dapat memberikan butiran lanjut.

Trezor menutup pos blognya dengan menunjukkan bahawa "[n] o perkakasan tidak dapat dihentikan, dan bergantung kepada model keselamatan anda, ada alat yang dapat anda gunakan untuk meredakan ancaman," dan dengan memberi pengguna beberapa tips akhir untuk penggunaan yang aman daripada Trezors mereka.

sebelum «
Seterusnya »