OneKey ընկերությունը, որը տրամադրում է գաղտնագրային ապարատային դրամապանակներ, ասել է, որ արդեն իսկ վերացրել է իր որոնվածի թերությունը, որը թույլ է տվել, որ իր ապարատային դրամապանակներից մեկը վտանգի ենթարկվի մեկ վայրկյանում:
Կիբերանվտանգության ոլորտում Unciphered ընկերությունը փետրվարի 10-ին YouTube-ում վերբեռնված տեսանյութում ասաց, որ գտել է OneKey Mini-ն «բացելու» միջոց՝ օգտվելով «Զանգվածային մեծ թերությունից» և այն շահագործելով:
Unciphered-ի գործընկեր Էրիկ Միխոյի խոսքով, հնարավոր էր OneKey Mini-ն վերադարձնել «գործարանային ռեժիմի» և շրջանցել անվտանգության փինը՝ սարքն ապամոնտաժելով և կոդավորում տեղադրելով: Սա թույլ կտա պոտենցիալ հարձակվողին հեռացնել մնեմոնիկ արտահայտությունը, որն օգտագործվում է դրամապանակը վերականգնելու համար: Դա հնարավոր դարձավ սարքը «գործարանային ռեժիմի» վերադարձնելով:
«Դուք ունեք կենտրոնական պրոցեսորային միավոր, ինչպես նաև անվտանգության տարր: Ձեր ծածկագրային բանալիները միշտ կպահվեն ապահով տարրում: Միշոն նշել է, որ տիպիկ իրավիճակում գաղտնագրված են կապերը կենտրոնական պրոցեսորային միավորի (CPU), որտեղ կատարվում է մշակումը, և ապահով տարրը:
«Դե, ինչպես պարզվում է, կոնկրետ դեպքում դա դրա համար չի կառուցվել։ «Այն, ինչ դուք կարող եք անել, այն է, որ մեջտեղում մի գործիք դնեք, որը վերահսկում է հաղորդակցությունները և գաղտնալսում դրանք, այնուհետև ներարկում իրենց սեփական հրամանները», - ասաց նա և ավելացրեց. Unciphered-ը չի ազդի OneKey-ի օգտատերերի վրա»:
Ընկերությունը շարունակել է ընդգծել, որ չնայած այն հանգամանքին, որ խոցելիությունը մտահոգիչ էր, Unciphered-ի կողմից հայտնաբերված հարձակման վեկտորը չի կարող օգտագործվել հեռակա կարգով: Փոխարենը, այն պահանջում է «սարքի ապամոնտաժում և ֆիզիկական հասանելիություն լաբորատորիայում հատուկ FPGA սարքի միջոցով», որպեսզի հնարավոր լինի իրականացնել:
Ըստ OneKey-ի, Unciphered-ի հետ քննարկելուց հետո պարզվել է, որ այլ դրամապանակներում հայտնաբերվել են նմանատիպ դժվարություններ: Սա բացահայտվեց, երբ պարզվեց, որ մյուս դրամապանակները նույն խնդիրն ունեն:
OneKey-ն ասաց, որ իրենք Unciphered-ին փոխհատուցել են պարգևներ՝ որպես երախտագիտություն հայտնելու միջոց ընկերության անվտանգությանը նպաստելու համար:
OneKey-ն իր բլոգի գրառման մեջ ասել է, որ արդեն ձեռնարկել է զգալի նախազգուշական միջոցներ՝ ապահովելու իր հաճախորդների անվտանգությունը: Այս նախազգուշական միջոցները ներառում են հաճախորդներին մատակարարման շղթայի հարձակումներից պաշտպանելը, որոնք տեղի են ունենում, երբ հաքերն իրական դրամապանակը փոխարինում է նրանց վերահսկողության տակ գտնվող դրամապանակով:
Առաքումների համար խեղաթյուրված փաթեթավորումը OneKey-ի ձեռնարկած քայլերից մեկն է, ինչպես նաև Apple-ի սեփական մատակարարման շղթայի ծառայություններ մատուցողների օգտագործումը՝ մատակարարման շղթայի անվտանգության խստացված կառավարումն ապահովելու նպատակով:
Նրանք ձգտում են ավելացնել նույնականացում ոչ շատ հեռավոր ապագայում և թարմացնել ավելի վերջին ապարատային դրամապանակները անվտանգության ավելի բարձր մակարդակի բաղադրիչներով:
Ըստ OneKey-ի ասվածի, ապարատային դրամապանակների առաջնային նպատակը միշտ եղել է օգտատերերի ֆինանսական ակտիվների պաշտպանությունը կիբերհարձակումներից, համակարգչային վիրուսներից և այլ հնարավոր սպառնալիքներից. Այնուամենայնիվ, ցավոք, ոչինչ չի կարող լիովին ապահով լինել:
«Երբ մենք նայում ենք ապարատային դրամապանակների արտադրության ողջ գործընթացին՝ սիլիցիումի բյուրեղներից մինչև չիպային կոդ, որոնվածից մինչև ծրագրային ապահովման, կարելի է վստահորեն ասել, որ ցանկացած ապարատային խոչընդոտ կարող է խախտվել բավականաչափ գումարով, ժամանակով և ռեսուրսներով. նույնիսկ եթե դա միջուկային զենքի կառավարման համակարգ է»: «Երբ մենք նայում ենք ապարատային դրամապանակների արտադրության ողջ գործընթացին՝ սիլիկոնային բյուրեղներից մինչև չիպային կոդ, որոնվածից մինչև ծրագրակազմ»,
Աղբյուր՝ https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked