Η OneKey, μια εταιρεία που παρέχει κρυπτογραφικά πορτοφόλια υλικού, δήλωσε ότι έχει ήδη επιδιορθώσει ένα ελάττωμα στο υλικολογισμικό της που κατέστησε δυνατό ένα από τα πορτοφόλια υλικού της να παραβιαστεί σε λιγότερο από ένα δευτερόλεπτο.
Η Unciphered, μια εταιρεία στον τομέα της κυβερνοασφάλειας, δήλωσε σε ένα βίντεο που ανέβηκε στο YouTube στις 10 Φεβρουαρίου ότι ανακάλυψε ένα μέσο για να «ανοίξει» ένα OneKey Mini εκμεταλλευόμενος ένα «Μαζικό σημαντικό ελάττωμα» και εκμεταλλευόμενος το.
Ήταν δυνατό, σύμφωνα με τον Eric Michaud, συνεργάτη της Unciphered, να επιστρέψει το OneKey Mini σε «εργοστασιακή λειτουργία» και να παρακάμψει τον πείρο ασφαλείας αποσυναρμολογώντας τη συσκευή και εισάγοντας κωδικοποίηση. Αυτό θα επέτρεπε σε έναν πιθανό εισβολέα να αφαιρέσει τη μνημονική φράση που χρησιμοποιείται για την ανάκτηση ενός πορτοφολιού. Αυτό κατέστη δυνατό με την επαναφορά της συσκευής σε "εργοστασιακή λειτουργία".
«Έχετε την κεντρική μονάδα επεξεργασίας καθώς και το στοιχείο ασφαλείας. Τα κρυπτογραφικά κλειδιά σας θα αποθηκεύονται πάντα στο ασφαλές στοιχείο. Ο Michaud σημείωσε ότι σε μια τυπική κατάσταση, οι συνδέσεις μεταξύ της κεντρικής μονάδας επεξεργασίας (CPU), όπου γίνεται η επεξεργασία, και του ασφαλούς στοιχείου κρυπτογραφούνται.
«Λοιπόν, όπως αποδεικνύεται, στη συγκεκριμένη περίπτωση, δεν κατασκευάστηκε για να το κάνει. «Αυτό που θα μπορούσατε να κάνετε είναι να βάλετε ένα εργαλείο στη μέση που παρακολουθεί τις επικοινωνίες και τις παρακολουθεί και στη συνέχεια εισάγει τις δικές τους εντολές», είπε, προσθέτοντας: «Αυτό που λέγεται, με φράσεις κωδικών πρόσβασης και βασικές πρακτικές ασφαλείας, ακόμη και φυσικές επιθέσεις που αποκαλύπτονται από Το Unciphered δεν θα επηρεάσει τους χρήστες του OneKey."
Η εταιρεία συνέχισε τονίζοντας ότι παρά το γεγονός ότι η ευπάθεια ήταν ανησυχητική, ο φορέας επίθεσης που ανακαλύφθηκε από την Unciphered δεν μπορεί να χρησιμοποιηθεί εξ αποστάσεως. Αντίθετα, απαιτεί «αποσυναρμολόγηση της συσκευής και φυσική πρόσβαση μέσω μιας αποκλειστικής συσκευής FPGA στο εργαστήριο», προκειμένου να είναι δυνατή η εκτέλεση.
Σύμφωνα με το OneKey, μετά από συζήτηση με την Unciphered, αποκαλύφθηκε ότι άλλα πορτοφόλια έχουν βρεθεί να έχουν παρόμοιες δυσκολίες. Αυτό αποκαλύφθηκε όταν ανακαλύφθηκε ότι άλλα πορτοφόλια είχαν το ίδιο πρόβλημα.
Η OneKey είπε ότι έχει αποζημιώσει το Unciphered με bounties ως τρόπο έκφρασης ευγνωμοσύνης για τη συνεισφορά τους στην ασφάλεια της εταιρείας.
Η OneKey δήλωσε σε μια ανάρτηση ιστολογίου ότι έχει ήδη λάβει σημαντικές προφυλάξεις για να εξασφαλίσει την ασφάλεια των πελατών της. Αυτές οι προφυλάξεις περιλαμβάνουν την προστασία των πελατών από επιθέσεις στην αλυσίδα εφοδιασμού, οι οποίες συμβαίνουν όταν ένας χάκερ αντικαθιστά ένα πραγματικό πορτοφόλι με ένα που βρίσκεται υπό τον έλεγχό τους.
Η αδιάβροχη συσκευασία για αποστολές ήταν ένα από τα βήματα που έλαβε η OneKey, μαζί με τη χρήση των παρόχων υπηρεσιών εφοδιαστικής αλυσίδας της Apple με σκοπό τη διασφάλιση αυστηρής διαχείρισης της ασφάλειας της αλυσίδας εφοδιασμού.
Έχουν φιλοδοξίες να προσθέσουν έλεγχο ταυτότητας ενσωματωμένο στο όχι πολύ μακρινό μέλλον και να ενημερώσουν πιο πρόσφατα πορτοφόλια υλικού με στοιχεία ασφαλείας υψηλότερου επιπέδου.
Σύμφωνα με όσα ειπώθηκαν από την OneKey, ο πρωταρχικός στόχος των πορτοφολιών υλικού ήταν πάντα η προστασία των οικονομικών περιουσιακών στοιχείων των χρηστών από επιθέσεις στον κυβερνοχώρο, ιούς υπολογιστών και άλλες πιθανές απειλές. Ωστόσο, δυστυχώς, τίποτα δεν μπορεί να είναι απολύτως ασφαλές.
«Όταν εξετάζουμε ολόκληρη τη διαδικασία κατασκευής πορτοφολιών υλικού, από κρυστάλλους πυριτίου έως κώδικα τσιπ, από υλικολογισμικό έως λογισμικό, είναι ασφαλές να πούμε ότι οποιοδήποτε εμπόδιο υλικού μπορεί να παραβιαστεί με αρκετά χρήματα, χρόνο και πόρους. ακόμα κι αν είναι ένα σύστημα ελέγχου πυρηνικών όπλων». «Όταν εξετάζουμε ολόκληρη τη διαδικασία κατασκευής πορτοφολιών υλικού, από κρυστάλλους πυριτίου έως κώδικα τσιπ, από υλικολογισμικό έως λογισμικό»,
Πηγή: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked