Trezor: feltörték a tárcát, de jelszó használatával kivédhető a támadás

spot_img

A Kraken tőzsde biztonsági csapatának sikerült feltörnie egy Trezor One és egy Trezor T típusú tárcát, és kinyernie belőlük a privát kulcsokat. A támadáshoz mindössze 15 percre és néhány tízezer forint értékű felszerelésre volt szükség.

A történtekre a hétvégén reagáltak a Trezornál is, amiből kiderült, hogy a tárcák STM32-es mikrochipjeinek a sebezhetőségét használhatták ki a tőzsde alkalmazottai, amivel elérhetővé váltak a memóriában titkosítva tárolt kódsorok.

A Trezor szerint ez a fajta támadás csak akkor lehet sikeres, ha a támadó fizikailag is hozzáfér a tárcához és ha azon nincsen bekapcsolva a Passphrase védelem, vagyis a helyreállító seed kulcs és a PIN-kód mellett beállítható titkos jelszó. A tárca az online végrehajtott támadások ellenében továbbra is tökéletes védettséget biztosít.

A képen a passphrase működése látható, aminek beállításával ugyanahhoz a seed-hez, akár különböző biztonsági jelszavakkal ellátott, egymástól függetlenül működő tárcákat is hozzárendelhetünk.

Az “A” tárca nincs passphrase védelemmel ellátva, ezért a Kraken által publikált módszerrel feltörhető lenne. A “B” és a “C” tárcák más-más passphrase-zekkel vannak védve, ezért ezekhez már nem lehetne hozzáférni a támadás során, még akkor sem, ha azok ugyanabból a seedből lettek létrehozva, mint az “A” tárca. (A Trezor memóriájában nem kerülnek tárolásra a passphrase-ek, ezért azokat ki sem lehet nyerni onnan.)

A passphrase-t a Trezor esetében mi magunk határozhatjuk meg. A kis- és nagybetű érzékeny jelszó maximum 50 karakter hosszúságú lehet, beállítására az Advanced menüpontban van lehetőség.

spot_img
spot_img
spot_img
spot_img