728x90

Композитор
Владимир Опря

Сотрудники исследовательской корпорации Kraken Security Labs нашли уязвимость в аппаратном криптовалютном кошельке KeepKey, сквозь которую злоумышленники умеют получить доступ к активам юзера.

Исследователи сказали, чего же, имея физический доступ к прибору, злодей может извлечь зашифрованную seed-фразу, защищенную PIN-кодом, который содержит от 1 до девяти цифр, настолько а как таковая защита взламывается ординарным перебором паролей. При всем этом ликвидировать уязвимость нереально, настолько а как для сего KeepKey востребовано видоизменить кошелек на аппаратном уровне.

«Атака под заглавием «сбой напряжения» выполняется на микроконтроллер, применяемый в кошельках KeepKey. При помощи конкретных вредных манипуляций с питанием удается повлиять на 1-ый элемент программного обеспечения, загружаемого прибором, в заданном случае «кодом BootROM», – заявили сотрудники Kraken Security Labs.

Собрать прибор, которое способно провести схожую атаку, можно образцово за $75, но исследователи поведали, а как юзеры умеют обезопасить себя от взлома. Во-1-х, востребовано попытаться, дабы никто за исключением юзера перестать имел физического доступа к прибору. Коли юзер растеряет прибор либо его похитят, то эта уязвимость быть может применена для доступа к криптовалютным активам.

А также спецы по кибербезопасности советуют добавить парольную фразу BIP39 сквозь расширение KeepKey Client. Эта парольная фраза мало несподручна для пользования, однако перестать хранится на устройстве и, как следует, перестать уязвима для атаки. Исследователи пометили:

«Невзирая на то, чего же главная часть кодовой основы KeepKey основывается на Trezor One, все таки они имеют отклонения. Создатели KeepKey добавили несколько устройств, кои обязаны были изготовить прошивку кошелька невосприимчивой к атакам сбоев. На мероприятии Wallet.Fail были продемонстрированы аналогичные атаки, но оказалось, чего же все эти меры неэффективны».