gratis web hit counter

Trezor reageert op kwetsbaarheidsbeschuldigingen van Ledger

Ledger beschuldigde gisteren zijn concurrent Trezor van 5-kwetsbaarheden, waarvan sommige nog niet zijn opgelost. We hebben gisteren hierover gerapporteerd in onze Dagelijkse verzameling. Gisteren reageerde Trezor op de beschuldigingen met een blogpost. Trezor antwoordde op alle vijf kwetsbaarheden die Ledger hen beschuldigde van het niet hebben verholpen.

Supply Chain Attack

Grootboek schreef maandag dat "[a] n aanvaller kan verschillende apparaten kopen, ze achterhalen en ze vervolgens terugsturen met het verzoek om terugbetaling (met gebruikmaking van de wachttijd)). “

De Tsjechische fabrikant van de hardwareportemonnee antwoordde op algemene wijze door te verklaren dat "SKetenaanvallen zijn een eeuwigdurend probleem voor alle hardware-apparaten (niet alleen voor portefeuilles)."Interessant is dat Trezor er niet op wees dat Ledger-portefeuilles vatbaar zijn voor dezelfde aanvallen. Zoals dit is wat Ledger probeert te suggereren.

Veilige PIN-beveiliging

De tweede kwetsbaarheid, die Ledger hieronder citeerde "Beveiligde PIN-beveiliging", is geen echte kwetsbaarheid zoals Trezor opmerkt onder "Software Crappy Attack ": "Tijdens de codebase-test van Trezor hebben Ledger-onderzoekers slechts twee problemen gevonden, wat bevestigt dat onze code sterk staat tegenover kwaadwillende actoren. Hoewel deze kwetsbaarheden niet te exploiteren waren, hebben we ze toch opgelost. "

Side Channel Attack

De derde kwetsbaarheid is een zogenaamde Side Channel Attack die fysieke toegang tot een apparaat vereist. Trezor prijst Ledger voor het feit dat hij met succes een dergelijke aanval heeft uitgevoerd. Ze beweren dat echter "[T] zijn aanvalsvector werd gesloten door het back-porten van de manier om gegevens op Trezor Model T op te slaan naar Trezor One."

Side Channel Attack Scalaire vermenigvuldiging

De vierde kwetsbaarheid genaamd "Side Channel Attack Scalar Multiplication" vereist dat een aanvaller toegang heeft tot pin, wachtwoord en het apparaat van een gebruiker. Daarom concludeert Trezor: "[H] Blijkbaar kan de aanvaller al het geld van het hardware-apparaat sturen. "

Verrassing afsluitende aanval

De laatste kwetsbaarheid die Ledger meldde, is de Surprise Concluding Attack. Een kwetsbaarheid die niet alleen betrekking heeft op hardwareportefeuilles. Volgens de blogpost van Trezor was het bedrijf "verrast door de aankondiging van Ledger van dit probleem." Vooral na "expliciet gevraagd te zijn door Ledger om het probleem niet bekend te maken, vanwege mogelijke implicaties voor de hele microchipindustrie, buiten de hardware wallets, zoals de medische en automobielindustrie. "

Het Tsjechische bedrijf verklaart verder dat het in gesprek is met de fabrikant van zijn chips (ST). Daarom verzekert het dat het geen verdere details kon verstrekken.

Trezor sloot zijn blogbericht af door aan te geven dat "[n] o hardware niet meer hinkbaar is en afhankelijk van wat uw beveiligingsmodel is, zijn er hulpmiddelen die u kunt gebruiken om bedreigingen te beperken", en door hun gebruikers enkele laatste tips te geven voor een veilig gebruik. van hun Trezors.

verder «
volgende »