Ang OneKey, isang kumpanya na nagbibigay ng cryptographic hardware wallet, ay nagsabi na na-patch na nito ang isang depekto sa firmware nito na naging posible para sa isa sa mga hardware wallet nito na makompromiso sa loob ng isang segundo.
Ang Unciphered, isang firm sa larangan ng cybersecurity, ay nagsabi sa isang video na na-upload sa YouTube noong Pebrero 10 na natuklasan nito ang isang paraan upang "buksan" ang isang OneKey Mini sa pamamagitan ng pagsasamantala sa isang "Massive major flaw" at pagsasamantala dito.
Posible, ayon kay Eric Michaud, isang kasosyo sa Unciphered, na ibalik ang OneKey Mini sa "factory mode" at i-bypass ang security pin sa pamamagitan ng pag-disassemble ng device at pagpasok ng coding. Ito ay magpapahintulot sa isang potensyal na umaatake na alisin ang mnemonic na parirala na ginagamit upang mabawi ang isang pitaka. Naging posible ito sa pamamagitan ng pagbabalik ng device sa "factory mode."
"Mayroon kang central processing unit pati na rin ang elemento ng seguridad. Palaging iimbak ang iyong mga cryptographic key sa secure na elemento. Nabanggit ni Michaud na sa isang karaniwang sitwasyon, ang mga koneksyon sa pagitan ng central processing unit (CPU), kung saan ginagawa ang pagproseso, at ang secure na elemento ay naka-encrypt.
“Well, sa lumalabas, sa partikular na pagkakataong ito, hindi ito ginawa para gawin ito. "Ang maaari mong gawin ay maglagay ng tool sa gitna na sumusubaybay sa mga komunikasyon at humarang sa kanila at pagkatapos ay nag-iinject ng sarili nilang mga utos," sabi niya, at idinagdag: "Iyon ay sinabi, na may mga parirala ng password at mga pangunahing kasanayan sa seguridad, kahit na ang mga pisikal na pag-atake ay isiniwalat ng Hindi makakaapekto sa mga user ng OneKey ang uncipphered.”
Ang kumpanya ay nagpatuloy upang bigyang-diin na sa kabila ng katotohanan na ang kahinaan ay may kinalaman, ang attack vector na natuklasan ng Unciphered ay hindi maaaring gamitin nang malayuan. Sa halip, ito ay nangangailangan ng "pag-disassembly ng device at pisikal na pag-access sa pamamagitan ng nakalaang FPGA device sa lab" upang maging posible na maisakatuparan.
Ayon sa OneKey, pagkatapos ng talakayan sa Unciphered, inihayag na ang iba pang mga wallet ay natagpuan na may katulad na mga paghihirap. Ito ay isiniwalat nang matuklasan na ang ibang mga wallet ay may parehong isyu.
Sinabi ng OneKey na binayaran nila ang Unciphered ng mga bounty bilang isang paraan ng pagpapahayag ng pasasalamat sa kanilang mga kontribusyon sa seguridad ng kumpanya.
Sinabi ng OneKey sa isang blog post na gumawa na ito ng makabuluhang pag-iingat upang ma-secure ang kaligtasan ng mga customer nito. Kasama sa mga pag-iingat na ito ang pagprotekta sa mga customer laban sa mga pag-atake sa supply chain, na nangyayari kapag pinalitan ng hacker ang isang tunay na wallet ng isa na nasa ilalim ng kanilang kontrol.
Ang tamper-proof na packaging para sa mga pagpapadala ay isa sa mga hakbang na ginawa ng OneKey, kasama ang paggamit ng sariling mga provider ng serbisyo ng supply chain ng Apple para sa layunin ng pagtiyak ng mahigpit na pamamahala sa seguridad ng supply chain.
Mayroon silang mga hangarin na magdagdag ng onboard na pagpapatotoo sa hindi masyadong malayong hinaharap at mag-update ng mas kamakailang mga wallet ng hardware na may mas mataas na antas ng mga bahagi ng seguridad.
Ayon sa sinabi ng OneKey, ang pangunahing layunin ng mga wallet ng hardware ay palaging upang pangalagaan ang mga pinansyal na asset ng mga user mula sa mga cyber-attack, computer virus, at iba pang potensyal na banta; gayunpaman, nakalulungkot, walang ganap na ligtas.
“Kapag tinitingnan namin ang buong proseso ng pagmamanupaktura ng mga wallet ng hardware, mula sa mga kristal ng silikon hanggang sa chip code, mula sa firmware hanggang software, ligtas na sabihin na ang anumang hadlang sa hardware ay maaaring labagin nang may sapat na pera, oras, at mapagkukunan; kahit na ito ay isang nuclear weapon control system.” "Kapag tinitingnan namin ang buong proseso ng pagmamanupaktura ng mga wallet ng hardware, mula sa mga kristal ng silikon hanggang sa chip code, mula sa firmware hanggang sa software,"
Pinagmulan: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked