SATOHOST
No Result
View All Result
Thứ Sáu, Tháng Năm 20, 2022
  • Login
  • vps giá rẻ
Subscribe
SATOHOST
  • vps giá rẻ
No Result
View All Result
SATOHOST
No Result
View All Result

Trezor và Ledger phản hồi lại các tuyên bố về vấn đề bảo mật

admin by admin
Tháng Tư 13, 2019
in Tin tức
6 min read
0
152
SHARES
1.9k
VIEWS
Share on FacebookShare on Twitter

Ba nhà nghiên cứu và kỹ sư đã có một bài trình bày tại sự kiện Chaos Communication Congress lần thứ 35 trong đó tiết lộ các lỗ hổng bảo mật trong các ví phần cứng tiền mã hóa. Trezor và Ledger đã trả lời ngắn gọn rằng số dư tiền mã hóa của người dùng của họ là an toàn.

Dmitry Nedospasov, Thomas Roth và Josh Datko, đã tạo ra trang web wallet.fail và hứa sẽ xuất bản trực tuyến bài trình bày của họ trong Chaos Communication Congress sau sự kiện này. Trong vòng 24 giờ, các tuyên bố của nhà nghiên cứu đã được công bố và hai nhà sản xuất ví phần cứng hàng đầu đã phản hồi.

Ledger cho biết tài sản tiền mã hóa trong ví vẫn được bảo mật

Ledger đã phản hồi tất cả với một bài đăng trên blog nói rằng mặc dù họ rất vui khi thấy mọi người thách thức tính bảo mật của hãng nhưng:

“Họ đã trình bày 3 hướng tấn công có thể gây ấn tương với việc các lỗ hổng nghiêm trọng đã bị phát hiện trên các thiết bị Ledger. Đây không phải là trường hợp”.

Mặc dù các nhà nghiên cứu nói rằng tất cả họ đều yêu thích tiền mã hóa và bản thân họ đều sở hữu tiền mã hóa nhưng Ledger cũng có vẻ hơi thất vọng khi nói thêm rằng:

“Trong thế giới bảo mật, cách thông thường để tiến hành là tiết lộ có trách nhiệm. Chúng tôi rất tiếc vì các nhà nghiên cứu đã không tuân theo các nguyên tắc bảo mật tiêu chuẩn được nêu trong chương trình Bounty của Ledger”.

Ledger cũng tin rằng ba nhà nghiên cứu đã không cung cấp các lỗ hổng thực tế trên mạng.

Đầu tiên, các nhà nghiên cứu đã thực hiện một cuộc tấn công để sửa đổi ví tiền vật lý và sử dụng phần mềm độc hại trên PC của chủ sở hữu tiền mã hóa kết hợp với một kẻ tấn công tiềm năng trong một căn phòng gần đó cần nhập mã PIN bị hack từ xa và khởi chạy ứng dụng tiền mã hóa. Ledger nhận định về kiểu tấn công này:

“Nó khá là không thực tế và một hacker có mưu đồ chắc chắn sẽ sử dụng các thủ thuật hiệu quả hơn”.

Thứ hai:

“Họ đã cố gắng thực hiện một cuộc tấn công chuỗi cung ứng bằng cách bỏ qua kiểm tra MCU, nhưng họ đã không thành công. MCU quản lý màn hình nhưng không có quyền truy cập vào mã PIN cũng như hạt giống (của ví Ledger) được lưu trữ trên Phần tử bảo mật”.

Mặc dù Ledger thừa nhận có một lỗi trong chức năng cập nhật firmware cho phép các nhà nghiên cứu bổ sung thêm phần mềm nhưng Ledger cho biết lỗi này đã được khắc phục trong phiên bản firmware tiếp theo của thiết bị và lỗi này không cho phép bất cứ thứ gì xảy ra ngoài giao diện gỡ lỗi JTAG. Các nhà nghiên cứu không thể truy cập vào các quỹ tiền mã hóa.

Cuối cùng, đối với ví Ledger Blue, các nhà nghiên cứu đã đo phát xạ vô tuyến khi nhập mã PIN, cách thức này có thể giúp kẻ tấn công tính toán mã PIN người dùng. Ledger nói rằng cuộc tấn công rất thú vị nhưng trong điều kiện thực tế thì việc này yêu cầu thiết bị phải giữ nguyên vị trí khi “cuốn từ điển phát xạ được tra cứu”. Điều này rất khó xảy ra.

Có vẻ như Ledger đã xem xét khả năng về một cuộc tấn công như vậy khi họ phản hồi rằng:

“Chúng tôi đã triển khai bàn phím ngẫu nhiên cho mã PIN trên Ledger Nano S và cải tiến tương tự được lên lịch trong bản cập nhật Firmger Ledger Blue tiếp theo”.

Trezor: Nếu bạn còn giữ thiết bị thì … hãy cứ tiếp tục sử dụng nó

Về phần Trezor, nhà sản xuất này phản hồi rằng:

“Kẻ tấn công sẽ cần quyền truy cập vật lý vào thiết bị của bạn. Nếu bạn có quyền kiểm soát vật lý đối với ví Trezor của mình, bạn có thể tiếp tục sử dụng nó và lỗ hổng này không phải là mối đe dọa đối với bạn”.

Trezor cũng đã nói rằng những người dùng quan tâm có thể kích hoạt tính năng passphrase – cụm mật khẩu trên các ví phần cứng Trezor của mình, nhưng nếu quyên cụm mật khẩu này thì đồng nghĩa với việc người dùng cũng sẽ mất tiền trong đó.

Regarding the presentation at #35c3, we were not informed ahead of time about the details of the disclosure. We are working with the info as it arrives.

We will address the vulnerability in due time—as soon as possible.

Details in thread:

— Trezor (@Trezor) 28 tháng 12, 2018

Các nhà nghiên cứu dường như đã xác định được một số điểm yếu tiềm tàng, tuy nhiên không có khả năng xảy ra. Dường như Ledger và Trezor đã đi trước trong việc xác định các lỗ hổng.

Ledger đã bán hơn một triệu ví tiền trong năm 2017 và tiếp tục trở thành công ty hàng đầu trong ngành với một loạt các quan hệ đối tác mới. Trezor cũng tiếp tục phát triển ví của mình và gần đây đã bổ sung thêm hỗ trợ Ethereum bản địa.

Theo: onet.vn/ccn

Xem thêm:

Ấn Độ có thể sẽ hợp pháp hóa Bitcoin nhưng phải tuân thủ các điều khoản nghiêm ngặt

CEO của Binance tin tưởng vào tương lai của tiền mã hóa

Cơ quan quản lý tài chính Nhật Bản nhận 190 đơn xin cấp phép cho sàn giao dịch tiền mã hóa

0
Tags: Tiền Ảo
admin

admin

Related Posts

edit post
Blog

LINUX BACKUP & RESTORE FULL OS

Tháng Ba 23, 2022
edit post
Hướng dẫn cài đặt và cấu hình Openstack toàn tập từ A-Z
Blog

VPS Ram 4GB Chỉ 199k/tháng Miễn Phí Gsuite,

Tháng Ba 23, 2022
edit post
Blog

Tài Khoản Google Drive Unlimited 2020 50k – Google Drive Không Giới Hạn – Google drive unlimited 2020

Tháng Bảy 11, 2020
edit post
Bán tài khoản MOVO CASH USA ACCOUNT (VCC+VBA)
Blog

Bán tài khoản MOVO CASH USA ACCOUNT (VCC+VBA)

Tháng Bảy 11, 2020
edit post
Blog

Hướng dẫn kích hoạt bản quyền Windows Server 2012 R2 không cần crack

Tháng Sáu 10, 2020
edit post
Hướng dẫn cài đặt và cấu hình Openstack toàn tập từ A-Z
Blog

Hướng dẫn cài đặt và cấu hình Openstack toàn tập từ A-Z

Tháng Sáu 4, 2020
edit post
Hướng dẫn Tự Tạo Ứng Dụng Họp Online Phòng Học Online Miễn Phí với Jitsi
Blog

Hướng dẫn Tự Tạo Ứng Dụng Họp Online Phòng Học Online Miễn Phí với Jitsi

Tháng Tư 13, 2020
edit post
Startup

Three Startups That Wowed Jack Ma and Won Alibaba’s Backing

Tháng Tư 13, 2020
edit post
Hướng dẫn sử dụng Remote Desktop để truy cập VPS
Blog

Hướng dẫn sử dụng Remote Desktop để truy cập VPS

Tháng Tư 12, 2020
vps giá rẻ
  • vps giá rẻ
Call us: 0975757375

© 2020

No Result
View All Result
  • vps giá rẻ

© 2020

Welcome Back!

Login to your account below

Forgotten Password?

Create New Account!

Fill the forms bellow to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
  • Sign in

Forgot your password?

Lost your password? Please enter your email address. You will receive mail with link to set new password.

Back to login