contador de visitas

Trezor responde às alegações de vulnerabilidade do Ledger

Ledger acusou seu concorrente Trezor ontem de vulnerabilidades 5, algumas das quais ainda não foram consertadas. Nós reportamos ontem sobre isso em nossa Roundup diário. Ontem, Trezor respondeu às alegações com um blog. A Trezor respondeu a todas as cinco vulnerabilidades que Ledger acusou de não terem corrigido.

Ataque da Cadeia de Suprimentos

Ledger escreveu na segunda-feira que[um] n atacante poderia comprar vários dispositivos, backdoor-los e enviá-los de volta pedindo reembolso (usando o período de retirada).

A Czech Hardware Wallet Manufacturer respondeu de uma forma geral, afirmando que “SAtaques em cadeia de upply são um problema eterno para todos os dispositivos de hardware (não apenas carteiras).“Curiosamente, Trezor não apontou que as carteiras do Ledger são suscetíveis aos mesmos ataques. Como isso é o que Ledger está tentando sugerir.

Proteção segura de PIN

A segunda vulnerabilidade, que Ledger citou em „Proteger com PIN seguro“, não é uma vulnerabilidade real como Trezor aponta sob „Software Crappy Attack “: „Durante o teste de base de código do Trezor, os pesquisadores do Ledger encontraram apenas dois problemas, confirmando que nosso código é forte contra os agentes maliciosos. Embora essas vulnerabilidades não pudessem ser exploradas, nós as consertamos de qualquer maneira ”.

Ataque do Canal Lateral

A terceira vulnerabilidade é o chamado Side Channel Attack, que requer acesso físico a um dispositivo. Trezor elogia Ledger por ter realizado com sucesso tal ataque. No entanto, eles afirmam que „[O] vetor de ataque foi fechado ao fazer o back-port do caminho para armazenar dados no Trezor Modelo T para o Trezor One.“

Multiplicação escalar do ataque do canal lateral

A quarta vulnerabilidade apelidada de "multiplicação escalar de ataque de canal lateral" requer que um invasor tenha acesso a senha, senha e o dispositivo de um usuário. Portanto, Trezor conclui:[H] aving tudo isso o atacante pode enviar todos os fundos do dispositivo de hardware de qualquer maneira.

Ataque Final Surpreendente

A última vulnerabilidade relatada por Ledger é o Ataque Final Surpreendente. Uma vulnerabilidade que não se refere apenas a carteiras de hardware. De acordo com o post de Trezor, a empresa ficou “surpresa com o anúncio de Ledger sobre essa questão”. Especialmente depois de “ser explicitamente convidado por Ledger a não divulgar o problema, devido às possíveis implicações para toda a indústria de microchips, além das carteiras de hardware, como a indústrias médica e automotiva. "

A empresa checa afirma ainda que está em conversações com o fabricante dos seus chips (ST). Portanto, garante que não poderia fornecer mais detalhes.

A Trezor fechou sua publicação no blog indicando que “o hardware não é vulnerável e, dependendo do seu modelo de segurança, existem ferramentas que você pode usar para mitigar ameaças”, e dando a seus usuários algumas dicas finais para o uso seguro de seus Trezors.

anterior "
Próximo »