پاسخ Trezor به ادعای آسیب‌پذیری کیف‌پول‌های این شرکت

پاسخ Trezor به ادعای آسیب‌پذیری کیف‌پول‌های این شرکت

کمپانی تولید کننده‌ی کیف‌پول‌های سخت‌افزاری Trezor به ادعاهای کمپانی Ledger مبنی بر آسیب‌پذیر بودن کیف‌پول‌های Trezor One و Trezor T پاسخ داد. در تازه‌ترین نمایشگاه Bitcoin Expo که در دانشگاه MIT در شهر بوستون برگزار شد، چارلز گلیمت(Charles Guillemet) افسر ارشد بخش امنیت کمپانی Ledger ادعا کرد که چهار دستگاه از کیف‌پول‌های Trezor توسط محققین این شرکت کاملا «شکسته شده» و آن‌ها توانسته‌ پس از عبور از بخش‌های امنیتی به دارایی‌های آن‌ها دسترسی پیدا کنند.

کمپانی Ledger نیز پس از مدتی با انتشار یک گزارش با نام «امنیت مشترک ما: مسئولیت شناسایی نقاط آسیب‌پذیر رقبا»، اعلام کرد که توانسته پنج آسیب‌پذیری کلیدی در محصولات کمپانی رقیب خود یعنی Trezor‌ پیدا کند.

تنها یک روز پس از اینکه کمپانی لدجر اقدام به انتشار این گزارش کرد، کمپانی Trezor نیز به اظهارات رقیب خود پاسخ داد و گزارشاتی با نام «پاسخ ما به یافته‌های Ledger در گردهمایی MIT Bitcoin Expo» منتشر کرد.

کمپانی Trezor بخش‌های ابتدایی مقاله را با بیان اینکه که حملات اشاره شده توسط کمپانی رقیب اصلا «قابل بهره‌برداری نیستند»، شروع کرد. در بخش‌هایی از این گزارش آمده است:

اول از همه، ما می‌خواهیم تا این واقعیت را مشخص کنیم که هیچ‌ یک از حملات گفته شده قابل بهره‌برداری به صورت از راه دور نیستند. تمام روش‌های حمله‌ی نشان داده شده توسط Ledger نیاز به دسترسی فیزیکی به کیف‌پول‌های شما، تجهیزات تخصصی، زمان کافی و تخصص فنی بالایی دارند.


در گزارشات کمپانی Ledger آسیب‌پذیری‌های سوم، چهارم و پنجم به ناشناس بودن داده‌ها و هک شدن کلید‌های خصوصی اشاره دارد که همگی نیازمند دسترسی فیزیکی به کیف‌پول‌های Trezor دارند.

گزارشات کمپانی Trezor با اشاراتی به گزارش صرافی بایننس(Binance) اعلام می‌کند که تنها ۵/۹۳ درصد از حملات مربوط به حملات فیزیکی و دزدی هستند، در حالی که ۶۶ درصد حملات به صورت از راه‌ دور اتفاق می‌افتد. در تحقیقات کمپانی Trezor گفته شده مشتریانی که از حملات فیزیکی واهمه دارند، می‌توانند از «کلمات کلیدی عبور یا Passphrase» استفاده نمایند.

این کمپانی در ادامه اظهار نموده که مقابله با حملات از راه دور اصلی‌ترین هدف این کمپانی در زمان تولید کیف‌پول‌های سخت‌افزاری بوده است. در ادامه گفته شده:

همیشه اصلی‌ترین هدف تولید کیف‌پول‌های سخت‌افزاری جلوگیری از به سرقت رفتن دارایی کاربران در مقابل حملات بد‌افزاری، ویروس‌های کامپیوتری و دیگر خطرات از راه دور(مانند سرقت تمام دارایی‌های ذخیره شده در کیف‌پول‌های Ledger‌با استفاده از تغییر آدرس مخفی یا Stealth) بوده است.

کمپانی Ledger همچنین ادعا نموده که می‌توان یگپارچکی دستگاه‌های سخت‌افزاری کمپانی Trezor را تقلید کرد و یک نمونه‌ی تقلبی از آن‌ها ساخت. کمپانی Trezor نیز در رابطه با این مورد توضیح داد:

هیچ راهی وجود ندارد که یک قطعه‌ی سخت‌افزاری بتواند خودش و یکپارچگی خودش را ببرسی کند. تاییدیه‌ی سخت‌افزاری یک راه‌حل برای این مشکل نیست، زیرا می‌توان با ایجاد تغییرات سخت‌افزاری در این دستگاه‌های کاری کرد که اصل بودن و Genuine بودن آن‌ها تایید شود.

کمپانی Trezor با اشاره به ادعای Ledger مبنی بر آسیب‌پذیری در برابر حملات Side-Channel اظهار نموده که این آسیب‌پذیری توسط «روش Back-Porting و نحوه‌ی ذخیره‌سازی داده‌های آن» در کیف‌پول‌های Trezor One و Trezor T بسته شده است.

این کمپانی تولید سخت‌افزار در ادامه توضیح داد هنگامی که آسیب‌پذیری مربوط به رمزعبور یا PIN رفع شود، استخراج کلید مخفی با استفاده از روش‌های ضرب مقیاس Side-Channel نیز اصلاح خواهد شد.

کمپانی T‌rezor همچون اعلام کرد که Ledger‌ از آن‌ها خواسته که به دلیل پیامد‌های گسترده‌ای که ممکن است برای صنعت تولید تراشه‌های کوچک یا Microchip به همراه داشته باشد، از ارائه‌ی هرگونه نتیجه‌گیری عجیب و قریب بپرهیزد. این کمپانی افزود که Ledger از ارائه‌ی اطلاعات بیشتر در مورد این موضوع خودداری کرده است.
در نهایت کمپانی Trezor‌ از کاربران خود خواست تا برای افزایش امنیت دارایی‌های خود از روش «محافظت به وسیله‌ی کلمات کلیدی» و وضع چندین کلمه‌ی کلیدی برای دستگاه‌های خود استفاده کنند. مارک پالاتینوس(Marek Palatinus) مدیرعامل بخش تحقیقاتی SatoshiLabs و سازنده‌ی کیف‌پول‌های سخت‌افزاری کمپانی Trezor‌ نتیجه گرفت:

ما می‌خواهیم از کمپانی Ledger برای تشریح این نوع حملات که از زمان طراحی کیف‌پول‌های Tr‌ezor از آن‌ها اطلاع داشتیم، تشکر کنیم. از آنجایی که ما متوجه هستیم هیچ دستگاه سخت‌افزاری به صورت ۱۰۰ درصد امن نیست، ما مفهوم کلمات کلیدی بازیابی حساب(Passphrase) را معرفی کردیم، که علاوه بر واکنش‌پذیری‌های احتمالی بسیاری از انواع حملات فیزیکی دیگر مانند این موارد را برطرف می‌کند.

در نهایت Trezor با انتشار یک عکس اعلام کرد که تقریبا تمامی روش‌های حمله‌ی اعلام شده توسط کمپانی Ledger با استفاده از بروزرسانی‌های امنیتی و دیگر روش‌های ممکن، برطرف شده‌اند.

 

 

source:coinit