- Специальный корреспондент
Одна уязвимость превратилась в историю о профессиональной этике.
Французская компания Ledger помогла конкуренту устранить найденную в аппаратных кошельках Trezor Safe 3. Команда Ledger обнаружила, что устройство для атак на этапе поставок. Это означало, что злоумышленник мог потенциально модифицировать ПО кошелька до попадания к пользователю, ставя под угрозу средства.
Ledger Donjon — команда исследователей безопасности Ledger — выяснила, что в Trezor Safe 3 и Safe 5 используется двухчиповая архитектура, включающая защищённый элемент и микроконтроллер. Однако криптографические операции в данных моделях выполняются на микроконтроллере, что создает дополнительный риск. В случае компрометации программного обеспечения злоумышленник мог бы получить удалённый доступ к средствам пользователя.
Несмотря на наличие у Trezor механизмов защиты, специалисты Ledger Donjon смогли их обойти. После сообщения о проблеме компания Trezor оперативно внесла исправления, обеспечив дополнительную безопасность своих устройств. При этом представители Trezor заверили, что находятся в безопасности, а владельцам кошельков не требуется предпринимать никаких действий, если они приобрели устройство у официальных поставщиков.
Французская компания Ledger помогла конкуренту устранить найденную в аппаратных кошельках Trezor Safe 3. Команда Ledger обнаружила, что устройство для атак на этапе поставок. Это означало, что злоумышленник мог потенциально модифицировать ПО кошелька до попадания к пользователю, ставя под угрозу средства.
Ledger Donjon — команда исследователей безопасности Ledger — выяснила, что в Trezor Safe 3 и Safe 5 используется двухчиповая архитектура, включающая защищённый элемент и микроконтроллер. Однако криптографические операции в данных моделях выполняются на микроконтроллере, что создает дополнительный риск. В случае компрометации программного обеспечения злоумышленник мог бы получить удалённый доступ к средствам пользователя.
Ветка твитов CTO Ledger Шарля Гийемета об уязвимости Trezor Safe 3
Несмотря на наличие у Trezor механизмов защиты, специалисты Ledger Donjon смогли их обойти. После сообщения о проблеме компания Trezor оперативно внесла исправления, обеспечив дополнительную безопасность своих устройств. При этом представители Trezor заверили, что находятся в безопасности, а владельцам кошельков не требуется предпринимать никаких действий, если они приобрели устройство у официальных поставщиков.
