Ưu Đãi Cyber Monday: Giảm tới 60% InvestingProNHẬN ƯU ĐÃI

Ledger phát hiện đến 5 lỗ hổng trong các dòng thiết bị ví cứng của Trezor

Ngày đăng 16:55 12/03/2019
Cập nhật 17:07 12/03/2019
Ledger phát hiện đến 5 lỗ hổng trong các dòng thiết bị ví cứng của Trezor
Ledger phát hiện đến 5 lỗ hổng trong các dòng thiết bị ví cứng của Trezor

Nhà sản xuất ví cứng Ledger đã tiết lộ thông tin về các lỗ hổng có trong thiết bị của đối thủ cạnh tranh trực tiếp Trezor, theo một bài blog đăng tải ngày 11/03.

Bài viết cho biết các lỗ hổng đã được phát hiện bởi Attack Lab, bộ phận thuộc công ty Ledger chuyên đi hack vào các thiết bị của chính mình và của các đối thủ để từ đó cải thiện mức độ bảo mật. Ledger cho biết là đã chuyển hết tất cả các phát hiện của mình về lỗ hổng ở ví Trezor One và Trezor Model T sang cho công ty sản xuất, và đã quyết định công khai thông tin đến cộng đồng người dùng sau khi thời gian giới hạn tiết lộ kết thúc.

Vấn đề đầu tiên là liên quan đến việc hack vào thiết bị. Theo đội ngũ Ledger, ví Trezor trước khi đến tay người mua đã có thể bị xâm nhập bằng cách truy cập vào “cửa hậu” của thiết bị bằng malware rồi sau đó dễ dàng tái niêm phong hộp bằng một tem giả. Ledger cho biết lỗ hồng này chỉ có thể được giải quyết bằng cách thay đổi thiết kế của ví Trezor, cụ thể là thay một trong những bộ phận cốt lõi bằng chip Secure Element.

Vào tháng 11/2018, bản thân công ty Trezor đã phát cảnh báo về việc một đơn vị thứ ba không rõ danh tính đang chào bán phiên bản nhái ví Trezor One của họ. Các ví giả đa phần có nguồn gốc từ Trung Quốc, và để đề phòng thì Trezor khuyên người dùng chỉ nên đặt mua ví từ website của công ty.

Song, Ledger lại tuyên bố người dùng kể cả khi mua ví từ website chính thức thì vẫn chưa thể an tâm, bởi kẻ tấn công trước đó có thể đặt mua một số ví, hack nó từ cửa hậu, tái niêm phong sao cho như mới, rồi hoàn trả lại cho Trezor để đòi hoàn tiền. Trezor sau đó có thể lại mang những chiếc ví bị hack bán cho các khách hàng khác.

Thứ hai, đội hacker của Ledger cho biết họ có thể đoán ra được mã PIN của ví Trezor bằng cách sử dụng phương thức tấn công side-channel. Thông tin này đã được chuyển sang cho Trezor từ tháng 11/2018 và đã được nhà sản xuất ví này khắc phục trong bản cập nhật 1.8.0.

Hai lỗ hổng thứ 3 và 4, đều được Ledger đề ra hướng giải quyết là sử dụng chip Secure Element, liên quan đến việc rò rỉ dữ liệu từ thiết bị. Ledger cho biết là một kẻ tấn công chỉ cần lấy được ví Trezor One hoặc là Model T thôi là có thể chiết xuất dữ liệu từ bộ nhớ flash và chiếm quyền kiểm soát tất cả tài sản lưu trữ trong đó.

Lỗ hổng cuối cùng là về mô hình bảo mật và mã hoá của Trezor. Theo Ledger thì thư viện của ví Trezor One không có đủ các biện pháp chống tấn công phần cứng cần thiết. Một hacker chỉ cần lấy cắp được ví thôi là đã có thể lấy được một chìa khoá bí mật bằng phương pháp tấn công side-channel, cho dù Trezor khẳng định ví của họ giờ đã miễn nhiễm trước mánh khoé này.

Vào tháng 11/2018, một nhóm nghiên cứu tại hội nghị 35C3 đã cam đoan rằng họ có thể hack vào Trezor One, Ledger Nano S và Ledger Blue. Cả Trezor và Ledger sau đó đều đã xác nhận những lỗ hồng này, nhưng trong khi Trezor phải hồi bằng một cập nhật phần mềm cho người dùng, thì Ledger lại cho biết những lỗi trên không quá nghiêm trọng đến ví của họ.

Theo CoinTelegraph/Coin68

The post Ledger phát hiện đến 5 lỗ hổng trong các dòng thiết bị ví cứng của Trezor appeared first on Cafebitcoin.info.

Bình luận mới nhất

Cài Đặt Ứng Dụng của Chúng Tôi
Công Bố Rủi Ro: Giao dịch các công cụ tài chính và/hoặc tiền điện tử tiềm ẩn mức độ rủi ro cao, bao gồm rủi ro mất một phần hoặc toàn bộ vốn đầu tư, và có thể không phù hợp với mọi nhà đầu tư. Giá cả tiền điện tử có độ biến động mạnh và có thể chịu tác động từ các yếu tố bên ngoài như các sự kiện tài chính, pháp lý hoặc chính trị. Việc giao dịch theo mức ký quỹ gia tăng rủi ro tài chính.
Trước khi quyết định giao dịch công cụ tài chính hoặc tiền điện tử, bạn cần nắm toàn bộ thông tin về rủi ro và chi phí đi kèm với việc giao dịch trên các thị trường tài chính, thận trọng cân nhắc đối tượng đầu tư, mức độ kinh nghiệm, khẩu vị rủi ro và xin tư vấn chuyên môn nếu cần.
Fusion Media xin nhắc bạn rằng dữ liệu có trên trang web này không nhất thiết là theo thời gian thực hay chính xác. Dữ liệu và giá cả trên trang web không nhất thiết là thông tin do bất kỳ thị trường hay sở giao dịch nào cung cấp, nhưng có thể được cung cấp bởi các nhà tạo lập thị trường, vì vậy, giá cả có thể không chính xác và có khả năng khác với mức giá thực tế tại bất kỳ thị trường nào, điều này có nghĩa các mức giá chỉ là minh họa và không phù hợp cho mục đích giao dịch. Fusion Media và bất kỳ nhà cung cấp dữ liệu nào có trên trang web này đều không chấp nhận bất cứ nghĩa vụ nào trước bất kỳ tổn thất hay thiệt hại nào xảy ra từ kết quả giao dịch của bạn, hoặc trước việc bạn dựa vào thông tin có trong trang web này.
Bạn không được phép sử dụng, lưu trữ, sao chép, hiển thị, sửa đổi, truyền hay phân phối dữ liệu có trên trang web này và chưa nhận được sự cho phép rõ ràng bằng văn bản của Fusion Media và/hoặc nhà cung cấp. Tất cả các quyền sở hữu trí tuệ đều được bảo hộ bởi các nhà cung cấp và/hoặc sở giao dịch cung cấp dữ liệu có trên trang web này.
Fusion Media có thể nhận thù lao từ các đơn vị quảng cáo xuất hiện trên trang web, dựa trên tương tác của bạn với các quảng cáo hoặc đơn vị quảng cáo đó.
Phiên bản tiếng Anh của thỏa thuận này là phiên bản chính, sẽ luôn được ưu tiên để đối chiếu khi có sự khác biệt giữa phiên bản tiếng Anh và phiên bản tiếng Việt.
© 2007-2024 - Công ty TNHH Fusion Media. Mọi quyền được bảo hộ.