Співробітники дослідницької компанії Kraken Security Labs виявили уразливість в апаратному криптовалютном гаманці KeepKey, через яку зловмисники можуть отримати доступ до активів користувача.
Дослідники повідомили, що, маючи фізичний доступ до вашого пристрою, зловмисник може видобути зашифровану seed-фразу, захищений PIN-кодом, який містить від 1 до 9 цифр, так як така захист зламується простим перебором паролів. При цьому усунути уразливість неможливо, так як для цього KeepKey потрібно змінити гаманець на апаратному рівні.
«Атака під назвою «збій напруги» проводиться на мікроконтролер, який використовується в гаманцях KeepKey. З допомогою певних шкідливих маніпуляцій з харчуванням вдається впливати на перший елемент програмного забезпечення, завантаженого пристроєм, в даному випадку «кодом BootROM», – заявили співробітники Kraken Security Labs.
Зібрати пристрій, який здатний провести подібну атаку, можна приблизно за $75, однак дослідники розповіли, як користувачі можуть убезпечити себе від злому. По-перше, потрібно постаратися, щоб ніхто крім користувача не мав фізичного доступу до пристрою. Якщо користувач втратить пристрій або його викрадуть, то ця уразливість може бути використана для доступу до криптовалютным активів.
Також фахівці з кібербезпеки рекомендують додати парольну фразу BIP39 через розширення KeepKey Client. Ця парольна фраза трохи незручна для використання, але не зберігається на пристрої і, отже, не вразлива для атаки. Дослідники відзначили:
«Незважаючи на те, що основна частина кодової бази KeepKey ґрунтується на Trezor One, все ж вони мають відмінності. Розробники KeepKey додали кілька механізмів, які повинні були зробити прошивку гаманця несприйнятливою до атак збоїв. На заході Wallet.Fail були продемонстровані подібні атаки, однак виявилося, що всі ці заходи неефективні».
Thanks!
Our editors are notified.