OneKey ارائه‌دهنده کیف پول سخت‌افزار Crypto می‌گوید که قبلاً یک آسیب‌پذیری در سیستم‌افزار خود را برطرف کرده است که به یکی از کیف پول‌های سخت‌افزاری آن اجازه می‌دهد در یک ثانیه هک شود.

در 10 فوریه، یک ویدیو در یوتیوب ارسال شده توسط استارت‌آپ امنیت سایبری Unciphered نشان داد که راهی برای بهره‌برداری از یک «آسیب‌پذیری حیاتی عظیم» به منظور «شک باز کردن» یک OneKey Mini پیدا کرده‌اند.

به گفته اریک مایچاد، یکی از شرکای Unciphered، با جدا کردن دستگاه و درج کدگذاری، امکان بازگشت OneKey Mini به حالت کارخانه و دور زدن پین امنیتی وجود داشت که به مهاجم بالقوه اجازه می‌داد عبارت یادگاری مورد استفاده برای بازیابی اطلاعات را حذف کند. کیف پول.

Michaud توضیح داد: “شما CPU و عنصر امن را دارید. عنصر امن جایی است که کلیدهای رمزنگاری خود را نگه می دارید. اکنون، به طور معمول، ارتباطات بین CPU، جایی که پردازش انجام می شود، و عنصر امن رمزگذاری می شود.”

وی گفت: “خب معلوم است که در این مورد مهندسی نشده است. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.”

ما این کار را انجام دادیم که سپس به عنصر امن می‌گوید در حالت کارخانه است و می‌توانیم حافظه شما را که پول شما در رمزنگاری است، خارج کنیم.»

با این حال، در بیانیه 10 فوریه، OneKey گفت که قبلاً این کار را کرده است خطاب نقص امنیتی شناسایی شده توسط Unciphered، با اشاره به اینکه تیم سخت‌افزار آن پچ امنیتی را «اوایل سال جاری» بدون اینکه «کسی تحت‌تاثیر قرار گیرد» به‌روزرسانی کرده است، و «همه آسیب‌پذیری‌های فاش شده برطرف شده یا در حال رفع شدن هستند».

گفته می‌شود، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی افشا شده توسط Unciphered بر کاربران OneKey تأثیری نخواهد گذاشت.»

این شرکت همچنین تاکید کرد که در حالی که این آسیب‌پذیری نگران‌کننده بود، بردار حمله شناسایی‌شده توسط Unciphered از راه دور قابل دستیابی نیست و نیاز به «جدا کردن دستگاه و دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه دارد تا امکان اجرا وجود داشته باشد».

به گفته OneKey، طی مکاتباتی با Unciphered، فاش شد که کیف پول های دیگری نیز وجود داشته است مشخص شد که مشکلات مشابهی دارد.

OneKey گفت: «ما همچنین جوایز Unciphered را پرداخت کردیم تا از کمک‌هایشان به امنیت OneKey تشکر کنیم.

مربوط: “تا امروز مرا تعقیب می کند” – پروژه کریپتو به قیمت 4 میلیون دلار در لابی هتل هک شد

OneKey در پست وبلاگ خود گفته است که در حال حاضر برای تضمین امنیت کاربران خود، از جمله محافظت از آنها از حملات زنجیره تامین – هنگامی که یک هکر یک کیف پول واقعی را با کیفی که توسط آنها کنترل می شود جایگزین می کند، منطقه ای خاص از تمرکز.

اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای اطمینان از مدیریت امنیتی زنجیره تامین دقیق است.

در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.

OneKey اشاره کرد که اصلی هدف کیف پول های سخت افزاری همیشه برای محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما اذعان داشت که متأسفانه، هیچ چیز نمی تواند 100٪ ایمن باشد.

زمانی که به کل فرآیند تولید کیف پول سخت افزاری، از کریستال های سیلیکون گرفته تا کد تراشه، از سیستم عامل گرفته تا نرم افزار نگاه می کنیم، می توان گفت که با پول، زمان و منابع کافی، می توان از هر مانع سخت افزاری، حتی اگر یک سلاح هسته ای باشد، عبور کرد. سیستم کنترل.”



دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *