Uzņēmums OneKey, kas nodrošina kriptogrāfijas aparatūras makus, ir paziņojis, ka tas jau ir izlabojis tās programmaparatūras trūkumu, kas ļāva uzlauzt vienu no tā aparatūras makiem mazāk nekā vienas sekundes laikā.
Uzņēmums Unciphered, kas darbojas kiberdrošības jomā, videoklipā, kas tika augšupielādēts vietnē YouTube 10. februārī, teica, ka ir atklājis līdzekli OneKey Mini “atvēršanai”, izmantojot “masveida būtisku trūkumu” un to izmantojot.
Pēc Unciphered partnera Ērika Mihada teiktā, bija iespējams atgriezt OneKey Mini “rūpnīcas režīmā” un apiet drošības tapu, izjaucot ierīci un ievietojot kodējumu. Tas ļautu potenciālajam uzbrucējam noņemt mnemonisko frāzi, kas tiek izmantota, lai atgūtu maku. Tas bija iespējams, atgriežot ierīci “rūpnīcas režīmā”.
“Jums ir centrālais procesors, kā arī drošības elements. Jūsu kriptogrāfiskās atslēgas vienmēr tiks saglabātas drošajā elementā. Michaud atzīmēja, ka tipiskā situācijā savienojumi starp centrālo procesoru (CPU), kurā tiek veikta apstrāde, un drošo elementu tiek šifrēti.
"Nu, kā izrādās, šajā konkrētajā gadījumā tas nebija izveidots, lai to izdarītu. "Tas, ko jūs varētu darīt, ir ievietot pa vidu rīku, kas uzrauga sakarus un pārtver tos, un pēc tam ievada savas komandas," viņš teica, piebilstot: "Tajā gadījumā, ņemot vērā paroļu frāzes un pamata drošības praksi, pat fiziskus uzbrukumus, ko atklāj Unciphered neietekmēs OneKey lietotājus.
Uzņēmums turpināja uzsvērt, ka, neskatoties uz to, ka ievainojamība bija satraucoša, Unciphered atklāto uzbrukuma vektoru nevar izmantot attālināti. Tā vietā, lai to varētu izpildīt, ir nepieciešama “ierīces demontāža un fiziska piekļuve, izmantojot speciālu FPGA ierīci laboratorijā”.
Saskaņā ar OneKey teikto, pēc diskusijas ar Unciphered tika atklāts, ka citiem makiem ir konstatētas līdzīgas grūtības. Tas tika atklāts, kad tika atklāts, ka citiem makiem ir tāda pati problēma.
OneKey teica, ka viņi ir kompensējuši Unciphered ar balvām, lai izteiktu pateicību par ieguldījumu uzņēmuma drošībā.
OneKey savā emuāra ierakstā ir sacījis, ka tas jau ir veicis nozīmīgus piesardzības pasākumus, lai nodrošinātu savu klientu drošību. Šie piesardzības pasākumi ietver klientu aizsardzību pret piegādes ķēdes uzbrukumiem, kas rodas, kad hakeris nomaina īstu maku ar tādu, kas ir viņu kontrolē.
Viens no OneKey soļiem ir sūtījumu drošs iepakojums, kā arī paša Apple piegādes ķēdes pakalpojumu sniedzēju izmantošana, lai nodrošinātu stingru piegādes ķēdes drošības pārvaldību.
Viņi vēlas tuvākajā nākotnē pievienot iebūvēto autentifikāciju un atjaunināt jaunākos aparatūras makus ar augstāka līmeņa drošības komponentiem.
Saskaņā ar OneKey teikto, aparatūras maku primārais mērķis vienmēr ir bijis aizsargāt lietotāju finanšu aktīvus no kiberuzbrukumiem, datorvīrusiem un citiem iespējamiem draudiem; tomēr, diemžēl, nekas nevar būt pilnīgi drošs.
“Kad mēs skatāmies uz visu aparatūras maku ražošanas procesu, no silīcija kristāliem līdz mikroshēmas kodam, no programmaparatūras līdz programmatūra, var droši teikt, ka jebkuru aparatūras barjeru var pārkāpt ar pietiekami daudz naudas, laika un resursu; pat ja tā ir kodolieroču kontroles sistēma. "Kad mēs skatāmies uz visu aparatūras maku ražošanas procesu, no silīcija kristāliem līdz mikroshēmas kodam, no programmaparatūras līdz programmatūrai,"
Avots: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked