Trezor回应了Ledger的漏洞指控

Ledger昨天指责其竞争对手Trezor存在5漏洞,其中一些漏洞尚未解决我们昨天报道了这个问题。 每日综述。 昨天,Trezor回应了指控 博客文章。 Trezor回答了Ledger指责他们没有修复的所有五个漏洞。

供应链攻击

莱杰周一写道:“[a]攻击者可以购买多个设备,将它们后门,然后发送回去要求报销(使用提款期))“。

捷克五金钱包制造商以一般方式回答说“Supply Chain Attacks是所有硬件设备(不仅是钱包)的永恒问题。“有趣的是,Trezor没有指出Ledger钱包容易遭受同样的攻击。 这就是Ledger试图提出的建议。

安全的PIN保护

第二个漏洞,Ledger引用的漏洞 “安全PIN保护”,Trezor指出“并不是真正的漏洞”软件蹩脚攻击“: “在Trezor代码库测试期间,Ledger的研究人员只发现了两个问题,证实我们的代码对恶意行为者有很强的抵抗力。 虽然这些漏洞是不可利用的,但无论如何我们都修复了它们。“

侧通道攻击

第三个漏洞是所谓的侧通道攻击,需要对设备进行物理访问。 Trezor称赞Ledger成功地进行了这样的攻击。 但是,他们声称 “通过将Trezor Model T上的数据存储到Trezor One的方式,将他的攻击向量关闭了。”

边信道攻击标量乘法

第四个被称为“Side Channel Attack Scalar Multiplication”的漏洞要求攻击者能够访问pin,password和用户的设备。 因此,Trezor得出结论:“[H]所有这一切攻击者无论如何都可以从硬件设备发送所有资金。“

惊喜结束攻击

Ledger报告的最后一个漏洞是惊喜结束攻击。 此漏洞不仅涉及硬件钱包。 根据Trezor的博客文章,该公司“对Ledger宣布这一问题感到惊讶。”特别是在“Ledger明确要求不要宣传该问题之后,由于可能对整个微芯片行业产生影响,超出硬件钱包,例如医疗和汽车行业。“

这家捷克公司进一步表示正在与其芯片制造商(ST)进行谈判。 因此,它确保它无法提供任何进一步的细节。

Trezor关闭了它的博客文章,指出“[n] o硬件是不可攻击的,并且取决于你的安全模型是什么,有一些工具可以用来减轻威胁”,并为他们的用户提供安全使用的最终提示他们的Trezors。

上一页
下一步 »