OneKey, et selskap som leverer kryptografiske maskinvarelommebøker, har sagt at de allerede har rettet en feil i fastvaren som gjorde det mulig for en av maskinvarelommebøkene å bli kompromittert på under ett sekund.
Unciphered, et firma innen cybersikkerhet, sa i en video som ble lastet opp på YouTube 10. februar at de har oppdaget en måte å "bryte opp" en OneKey Mini ved å utnytte en "massiv stor feil" og utnytte den.
Det var mulig, ifølge Eric Michaud, en partner hos Unciphered, å returnere OneKey Mini til "fabrikkmodus" og omgå sikkerhetspinnen ved å demontere enheten og sette inn koding. Dette vil tillate en potensiell angriper å fjerne den mnemoniske setningen som brukes til å gjenopprette en lommebok. Dette ble muliggjort ved å sette enheten tilbake til "fabrikkmodus".
"Du har den sentrale behandlingsenheten i tillegg til sikkerhetselementet. Dine kryptografiske nøkler vil alltid bli lagret i det sikre elementet. Michaud bemerket at i en typisk situasjon er forbindelsene mellom den sentrale prosessorenheten (CPU), som er der behandlingen gjøres, og det sikre elementet kryptert.
"Vel, som det viser seg, i dette spesielle tilfellet, var det ikke bygget for å gjøre det. "Det du kan gjøre er å sette et verktøy i midten som overvåker kommunikasjonen og avskjærer dem og deretter injiserer deres egne kommandoer," sa han og la til: "Når det er sagt, med passordfraser og grunnleggende sikkerhetspraksis, til og med fysiske angrep avslørt av Unciphered vil ikke påvirke OneKey-brukere.»
Selskapet fortsatte med å understreke at til tross for at sårbarheten gjaldt, kan angrepsvektoren som ble oppdaget av Unciphered ikke brukes eksternt. I stedet krever det "demontering av enheten og fysisk tilgang gjennom en dedikert FPGA-enhet i laboratoriet" for å være mulig å utføre.
Ifølge OneKey, etter diskusjon med Unciphered, ble det avslørt at andre lommebøker har blitt funnet å ha lignende vanskeligheter. Dette ble avslørt da det ble oppdaget at andre lommebøker hadde samme problem.
OneKey sa at de har kompensert Unciphered med dusører som en måte å uttrykke takknemlighet for deres bidrag til selskapets sikkerhet.
OneKey har sagt i et blogginnlegg at de allerede har tatt betydelige forholdsregler for å sikre sikkerheten til kundene sine. Disse forholdsreglene inkluderer å beskytte kunder mot forsyningskjedeangrep, som oppstår når en hacker erstatter en ekte lommebok med en som er under deres kontroll.
Innpakningssikker emballasje for forsendelser har vært ett av trinnene OneKey har tatt, sammen med bruken av Apples egne leverandører av forsyningskjedetjenester for å sikre tett sikkerhetsstyring i forsyningskjeden.
De har ambisjoner om å legge til innebygd autentisering i en ikke så fjern fremtid og å oppdatere nyere maskinvarelommebøker med sikkerhetskomponenter på høyere nivå.
I følge det som ble sagt av OneKey, har hovedmålet med maskinvarelommebøker alltid vært å beskytte brukernes finansielle eiendeler mot cyberangrep, datavirus og andre potensielle trusler; Ikke desto mindre kan dessverre ingenting være helt sikkert.
«Når vi ser på hele produksjonsprosessen av maskinvare-lommebøker, fra silisiumkrystaller til brikkekode, fra fastvare til programvare, er det trygt å si at enhver maskinvarebarriere kan brytes med nok penger, tid og ressurser; selv om det er et atomvåpenkontrollsystem.» "Når vi ser på hele produksjonsprosessen av maskinvarelommebøker, fra silisiumkrystaller til brikkekode, fra fastvare til programvare,"
Kilde: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked