واکنش لجر و ترزور به ادعای وجود مشکل امنیتی در کیف پول‌های سخت افزاری

در سی و پنجمین نشست جهانی چالش ارتباطات، سه پژوهشگر و مهندس، با انتشار مقاله‌ای مدعی وجود آسیب پذیری در کیف پول‌های سخت افزاری شده بودند. ترزور (Trezor) و لجر (ledger) در واکنش به این ادعاها، به طور خلاصه اظهار داشتند که موجودی ارز دیجیتال کاربرانشان در امنیت کامل به سر می‌برد.

این سه پژوهشگر به نام‌های دیمیتری نیداسپاسوف، توماس راث و جاش داتکو، پس از اتمام همایش مطابق با وعده‌شان مقاله خود را در وب سایت wallet.fail که با همکاری یکدیگر ساخته‌اند، منتشر کردند. ۲۴ ساعت پس از انتشار این ادعا در اینترنت، دو سازنده بزرگ کیف پول‌های سخت افزاری ترزور و لجر واکنش نشان دادند.

لجر: جای ارزهای دیجیتال کاربران کاملا امن است

لجر در پاسخ به ادعای این سه نفر، با انتشار یک پست در وب سایت خود واکنش نشان داد و از اینکه کاربران امنیت کیف پولش را به چالش می‌کشند، ابراز خوشحالی کرد:

آن‌ها سه راه حمله را مشخص کرده‌اند و ممکن است اینگونه از آن برداشت شود که آسیب پذیری‌های بسیار مهمی در کیف پول‌های سخت افزاری لجر کشف شده است. این صحیح نیست.

بیشتر بخوانید: آسیب‌پذیری‌های کشف شده در کیف پول‌ سخت‌افزاری لجر (Ledger) جدی نیست

علیرغم اینکه این سه پژوهشگر می‌گویند «عاشق ارزهای دیجیتال» هستند و خودشان ارز دیجیتال دارند، با این لجر با اظهار ناخرسندی نوشت:

گزارش باگ به صورت مسئولانه (Responsible Disclosure)، یک راه معمول برای پیشروی در دنیای امنیت است… افسوس که پژوهشگران مذکور اصول استاندارد امنیتی که در برنامه جایزه کشف باگ لجر بیان شده بود را رعایت نکرده‌اند.

لجر با ذکر چند دلیل بر این باور است که این سه محقق «آسیب پذیری‌های کارسازی» را معرفی نکرده‌اند:

اولا؛ آن‌ها حمله‌ای را اجرا کرده‌اند که ویژگی‌های این کیف پول فیزیکی را تغییر داده است؛ بر روی کامپیوتر شخصی دارنده ارز دیجتال یک بدافزار نصب کرده‌اند که لازم بود یک هکر در نزدیکی آن رایانه به صورت کنترل از راه دور رمز عبور PIN هک شده را وارد کند تا این نرم افزار ارز دیجیتالی اجرا شود.

لجر در مورد حمله مذکور می‌گوید:

این نشان می‌دهد که چنین حملاتی کارساز نیستند و اگر یک هکر بخواهد چنین کاری انجام دهد، قطعا از روش‌های کارآمدتری استفاده خواهد کرد.

دوما؛ هکرها سعی کردند که با دور زدن میکروکنترلر (MCU) یک حمله زنجیره تامین را اجرا کنند، اما موفق نشدند. MCU صفحه نمایش را کنترل می‌کند اما به PIN یا Seed که بر اساس یک طرح امنیتی به نام عنصر امن (secure element) ذخیره می‌شوند، دسترسی ندارد.

با وجود این، کمپانی لجر وجود یک باگ در عملکرد فرم‌ور (Firmware) خود را تایید کرده است؛ امکان افزودن نرم‌افزار به واسطه این باگ برای این پژوهشگران فراهم شده بود. گفته می‌شود که لجر این باگ را در بروزرسانی بعدی فرم‌ور دستگاه‌های خود برطرف کرده است. همچنین این باگ به چیزی غیر از رابط خطایابی جی‌تگ اجازه فعالیت نمی‌دهد. پژوهشگران مذکور موفق به دسترسی به سرمایه کاربران نشده بودند.

سوما؛ آن‌ها در کیف پول لجر بلو (Ledger Blue) امواج رادیویی که هنگام وارد کردن PIN از دستگاه ساطع می‌شوند را اندازه گیری کردند؛ هکرها می‌توانند با استفاده از این روش رمز عبور کاربران را محاسبه کنند. لجر می‌گوید که حمله مورد نظر «جالب» است، اما برای اینکه در شرایط واقعی کارساز باشد لازم است که یک دستگاه در موقعیتی ثابت و یکسان باقی بماند تا بتوان «معنی» امواج آن را ثبت و PIN آن را هک کرد. ظاهرا لجر از قبل چنین حملاتی را در نظر گرفته است. کمپانی لجر در خصوص حمله مورد نظر نوشته است:

ما بر روی روی لجر نانو اس (Ledger Nano S) یک صفحه کلید تصادفی برای وارد کردن رمز PIN قرار داده‌ایم و این بروزرسانی برای نسخه بعدی فرم‌ور لجر بلو نیز برنامه ریزی شده است.

ترزور: اگر کیف پول تروز دارید… به استفاده از آن ادامه دهید

ترزور به محض دریافت این اطلاعات به بررسی آسیب پذیری کیف پول خود پرداخته و وجود آن را تایید کرده است. اما می‌گوید که این یک آسیب پذیری فیزیکی است که شناسایی شده:

یک هکر باید برای کشف این آسیب‌پذیری به صورت فیزیکی به دستگاه شما، و به‌ویژه بورد آن، دسترسی داشته باشد. اگر به کیف پول خود کنترل فیزیکی کامل دارید، می‌توانید با خیال آسوده به استفاده از آن ادامه بدهید و بدانید که این آسیب پذیری امنیت دستگاه شما را تهدید نخواهد کرد.

ترزور خطاب به کاربران نگران گفته است که می‌توانند برای اطمینان بیشتر، قابلیت رمز عبور امن (passphrase feature) را بر روی کیف پول سخت افزاری خود فعال کنند. البته این نکته را نیز به آن‌ها یادآور شده است که در صورت فراموش کردن این رمز به طور کامل دسترسی خود به دارایی‌های ذخیره شده را از دست خواهند داد: فراموش کردن عبارت عبور امن ترزور به معنای «از دست رفتن سرمایه کاربر» است.

بیشتر بخوانید: نقد و بررسی تخصصی کیف پول سخت افزاری ترزور (Trezor)

ترزور در توییتر نوشته است:

با توجه به مقاله‌ای که در سی و پنجمین همایش چالش ارتباطات ارائه شد، پیشاپیش جزئیات این باگ به ما گزارش نشده بود. ما به محض اطلاع از این موضوع بررسی را آغاز کردیم.

آسیب پذیری مذکور در اولین فرصت برطرف خواهد شد.

ظاهرا پژوهشگران توانسته‌اند چند نقطه ضعف بالقوه را در کیف پول‌های سخت افزاری شناسایی کنند که البته دور از واقعیت به نظر می‌رسند. همچنین این‌طور که پیداست، لجر و ترزور اولین سازنده‌های کیف پول سخت افزاری هستند که به بررسی این آسیب پذیری‌ها پرداخته‌اند و به ادعای تعدادی از پژوهشگران در سایت wallet.fail پاسخ داده‌اند؛ حتی با وجود اینکه از طریق برنامه‌های جایزه شکار باگ در لجر و ترزور، اقدام نکرده‌ بودند.

لجر به تنهایی در سال ۲۰۱۷ بیش از یک میلیون کیف پول فروخته و با ورود به شراکت‌های جدید، پیشگام این صنعت است. ترزور به توسعه کیف پول‌های خود ادامه می‌دهد و به تازگی پشتیبانی بومی از اتریوم را نیز به کیف پول خود اضافه کرده است.

منبع: ccn