در سی و پنجمین نشست جهانی چالش ارتباطات، سه پژوهشگر و مهندس، با انتشار مقالهای مدعی وجود آسیب پذیری در کیف پولهای سخت افزاری شده بودند. ترزور (Trezor) و لجر (ledger) در واکنش به این ادعاها، به طور خلاصه اظهار داشتند که موجودی ارز دیجیتال کاربرانشان در امنیت کامل به سر میبرد.
این سه پژوهشگر به نامهای دیمیتری نیداسپاسوف، توماس راث و جاش داتکو، پس از اتمام همایش مطابق با وعدهشان مقاله خود را در وب سایت wallet.fail که با همکاری یکدیگر ساختهاند، منتشر کردند. ۲۴ ساعت پس از انتشار این ادعا در اینترنت، دو سازنده بزرگ کیف پولهای سخت افزاری ترزور و لجر واکنش نشان دادند.
لجر: جای ارزهای دیجیتال کاربران کاملا امن استلجر در پاسخ به ادعای این سه نفر، با انتشار یک پست در وب سایت خود واکنش نشان داد و از اینکه کاربران امنیت کیف پولش را به چالش میکشند، ابراز خوشحالی کرد:
آنها سه راه حمله را مشخص کردهاند و ممکن است اینگونه از آن برداشت شود که آسیب پذیریهای بسیار مهمی در کیف پولهای سخت افزاری لجر کشف شده است. این صحیح نیست.
بیشتر بخوانید: آسیبپذیریهای کشف شده در کیف پول سختافزاری لجر (Ledger) جدی نیست
علیرغم اینکه این سه پژوهشگر میگویند «عاشق ارزهای دیجیتال» هستند و خودشان ارز دیجیتال دارند، با این لجر با اظهار ناخرسندی نوشت:
گزارش باگ به صورت مسئولانه (Responsible Disclosure)، یک راه معمول برای پیشروی در دنیای امنیت است… افسوس که پژوهشگران مذکور اصول استاندارد امنیتی که در برنامه جایزه کشف باگ لجر بیان شده بود را رعایت نکردهاند.
لجر با ذکر چند دلیل بر این باور است که این سه محقق «آسیب پذیریهای کارسازی» را معرفی نکردهاند:
اولا؛ آنها حملهای را اجرا کردهاند که ویژگیهای این کیف پول فیزیکی را تغییر داده است؛ بر روی کامپیوتر شخصی دارنده ارز دیجتال یک بدافزار نصب کردهاند که لازم بود یک هکر در نزدیکی آن رایانه به صورت کنترل از راه دور رمز عبور PIN هک شده را وارد کند تا این نرم افزار ارز دیجیتالی اجرا شود.
لجر در مورد حمله مذکور میگوید:
این نشان میدهد که چنین حملاتی کارساز نیستند و اگر یک هکر بخواهد چنین کاری انجام دهد، قطعا از روشهای کارآمدتری استفاده خواهد کرد.
دوما؛ هکرها سعی کردند که با دور زدن میکروکنترلر (MCU) یک حمله زنجیره تامین را اجرا کنند، اما موفق نشدند. MCU صفحه نمایش را کنترل میکند اما به PIN یا Seed که بر اساس یک طرح امنیتی به نام عنصر امن (secure element) ذخیره میشوند، دسترسی ندارد.
با وجود این، کمپانی لجر وجود یک باگ در عملکرد فرمور (Firmware) خود را تایید کرده است؛ امکان افزودن نرمافزار به واسطه این باگ برای این پژوهشگران فراهم شده بود. گفته میشود که لجر این باگ را در بروزرسانی بعدی فرمور دستگاههای خود برطرف کرده است. همچنین این باگ به چیزی غیر از رابط خطایابی جیتگ اجازه فعالیت نمیدهد. پژوهشگران مذکور موفق به دسترسی به سرمایه کاربران نشده بودند.
سوما؛ آنها در کیف پول لجر بلو (Ledger Blue) امواج رادیویی که هنگام وارد کردن PIN از دستگاه ساطع میشوند را اندازه گیری کردند؛ هکرها میتوانند با استفاده از این روش رمز عبور کاربران را محاسبه کنند. لجر میگوید که حمله مورد نظر «جالب» است، اما برای اینکه در شرایط واقعی کارساز باشد لازم است که یک دستگاه در موقعیتی ثابت و یکسان باقی بماند تا بتوان «معنی» امواج آن را ثبت و PIN آن را هک کرد. ظاهرا لجر از قبل چنین حملاتی را در نظر گرفته است. کمپانی لجر در خصوص حمله مورد نظر نوشته است:
ما بر روی روی لجر نانو اس (Ledger Nano S) یک صفحه کلید تصادفی برای وارد کردن رمز PIN قرار دادهایم و این بروزرسانی برای نسخه بعدی فرمور لجر بلو نیز برنامه ریزی شده است.
ترزور: اگر کیف پول تروز دارید… به استفاده از آن ادامه دهیدترزور به محض دریافت این اطلاعات به بررسی آسیب پذیری کیف پول خود پرداخته و وجود آن را تایید کرده است. اما میگوید که این یک آسیب پذیری فیزیکی است که شناسایی شده:
یک هکر باید برای کشف این آسیبپذیری به صورت فیزیکی به دستگاه شما، و بهویژه بورد آن، دسترسی داشته باشد. اگر به کیف پول خود کنترل فیزیکی کامل دارید، میتوانید با خیال آسوده به استفاده از آن ادامه بدهید و بدانید که این آسیب پذیری امنیت دستگاه شما را تهدید نخواهد کرد.
ترزور خطاب به کاربران نگران گفته است که میتوانند برای اطمینان بیشتر، قابلیت رمز عبور امن (passphrase feature) را بر روی کیف پول سخت افزاری خود فعال کنند. البته این نکته را نیز به آنها یادآور شده است که در صورت فراموش کردن این رمز به طور کامل دسترسی خود به داراییهای ذخیره شده را از دست خواهند داد: فراموش کردن عبارت عبور امن ترزور به معنای «از دست رفتن سرمایه کاربر» است.
بیشتر بخوانید: نقد و بررسی تخصصی کیف پول سخت افزاری ترزور (Trezor)
ترزور در توییتر نوشته است:
با توجه به مقالهای که در سی و پنجمین همایش چالش ارتباطات ارائه شد، پیشاپیش جزئیات این باگ به ما گزارش نشده بود. ما به محض اطلاع از این موضوع بررسی را آغاز کردیم.
آسیب پذیری مذکور در اولین فرصت برطرف خواهد شد.
ظاهرا پژوهشگران توانستهاند چند نقطه ضعف بالقوه را در کیف پولهای سخت افزاری شناسایی کنند که البته دور از واقعیت به نظر میرسند. همچنین اینطور که پیداست، لجر و ترزور اولین سازندههای کیف پول سخت افزاری هستند که به بررسی این آسیب پذیریها پرداختهاند و به ادعای تعدادی از پژوهشگران در سایت wallet.fail پاسخ دادهاند؛ حتی با وجود اینکه از طریق برنامههای جایزه شکار باگ در لجر و ترزور، اقدام نکرده بودند.
لجر به تنهایی در سال ۲۰۱۷ بیش از یک میلیون کیف پول فروخته و با ورود به شراکتهای جدید، پیشگام این صنعت است. ترزور به توسعه کیف پولهای خود ادامه میدهد و به تازگی پشتیبانی بومی از اتریوم را نیز به کیف پول خود اضافه کرده است.
منبع: ccn