OneKey, et firma, der leverer kryptografiske hardware-punge, har sagt, at det allerede har rettet en fejl i sin firmware, der gjorde det muligt for en af dets hardware-punge at blive kompromitteret på under et sekund.
Unciphered, et firma inden for cybersikkerhed, sagde i en video, der blev uploadet på YouTube den 10. februar, at det har opdaget et middel til at "brække" en OneKey Mini ved at drage fordel af en "massiv stor fejl" og udnytte den.
Det var muligt, ifølge Eric Michaud, en partner hos Unciphered, at returnere OneKey Mini til "fabrikstilstand" og omgå sikkerhedsnålen ved at adskille enheden og indsætte kodning. Dette ville give en potentiel angriber mulighed for at fjerne den mnemoniske sætning, der bruges til at gendanne en tegnebog. Dette blev gjort muligt ved at returnere enheden til "fabrikstilstand".
”Du har både centralenheden og sikkerhedselementet. Dine kryptografiske nøgler vil altid blive gemt i det sikre element. Michaud bemærkede, at i en typisk situation er forbindelserne mellem den centrale behandlingsenhed (CPU), som er der, hvor behandlingen udføres, og det sikre element krypteret.
"Nå, som det viser sig, i dette særlige tilfælde, var det ikke bygget til at gøre det. "Det, du kan gøre, er at sætte et værktøj i midten, der overvåger kommunikationen og opsnapper dem og derefter injicerer deres egne kommandoer," sagde han og tilføjede: "Når det er sagt, med adgangskodesætninger og grundlæggende sikkerhedspraksis, selv fysiske angreb afsløret af Unciphered vil ikke påvirke OneKey-brugere."
Virksomheden fortsatte med at understrege, at på trods af, at sårbarheden var bekymrende, kan angrebsvektoren, der blev opdaget af Unciphered, ikke bruges eksternt. I stedet kræver det "adskillelse af enheden og fysisk adgang gennem en dedikeret FPGA-enhed i laboratoriet" for at være mulig at udføre.
Ifølge OneKey blev det efter diskussion med Unciphered afsløret, at andre tegnebøger har vist sig at have lignende vanskeligheder. Dette blev afsløret, da det blev opdaget, at andre tegnebøger havde det samme problem.
OneKey sagde, at de har kompenseret Unciphered med dusører som en måde at udtrykke taknemmelighed for deres bidrag til virksomhedens sikkerhed.
OneKey har i et blogindlæg sagt, at det allerede har taget betydelige forholdsregler for at sikre sine kunders sikkerhed. Disse forholdsregler omfatter beskyttelse af kunder mod forsyningskædeangreb, som opstår, når en hacker erstatter en rigtig tegnebog med en, der er under deres kontrol.
Forfalskningssikker emballage til forsendelser har været et af de trin, OneKey har taget, sammen med brugen af Apples egne forsyningskædetjenesteudbydere med det formål at sikre stram forsyningskædesikkerhedsstyring.
De har ambitioner om at tilføje indbygget autentificering i en ikke alt for fjern fremtid og at opdatere nyere hardware-punge med sikkerhedskomponenter på højere niveau.
Ifølge hvad der blev sagt af OneKey, har det primære formål med hardware wallets altid været at beskytte brugernes finansielle aktiver mod cyberangreb, computervirus og andre potentielle trusler; ikke desto mindre kan intet desværre være helt sikkert.
"Når vi ser på hele fremstillingsprocessen af hardware wallets, fra siliciumkrystaller til chipkode, fra firmware til software, er det sikkert at sige, at enhver hardwarebarriere kan brydes med nok penge, tid og ressourcer; selvom det er et atomvåbenkontrolsystem." "Når vi ser på hele fremstillingsprocessen af hardware wallets, fra siliciumkrystaller til chipkode, fra firmware til software,"
Kilde: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked