La società di sicurezza Cripto Unciphered afferma di avere la capacità di hackerare fisicamente il portafoglio Trezor T

Un'azienda di professionisti della sicurezza informatica specializzata nel recupero Criptovaluta perse o rubate afferma di aver trovato un modo per hackerare il famoso portafoglio hardware Trezor T una volta che è fisicamente in loro possesso.

Unciphered ha dichiarato a CoinDesk in una serie di conversazioni e via e-mail di aver sfruttato una "vulnerabilità hardware non riparabile con il chip STM32 che ci consente di scaricare i dati flash incorporati e quelli programmabili una tantum (OTP)".

Tutto ciò è piuttosto tecnico, ma il team ha eseguito una dimostrazione in laboratorio, e l'ha documentata in un video, dimostrando di essere riuscito ad hackerare un portafoglio Trezor T fornito da CoinDesk e a recuperare con successo la nostra frase seed e il nostro pin. Non cifrato ha precedentemente hackerato EthereumWallet e recuperato Cripto bloccate, anche se sul loro sito web affermano che "supporta tutti i portafogli presenti sul mercato.”

Trezor ha dichiarato a CoinDesk che il suo team T aveva abbastanza dettagli sull'attacco specifico eseguito da Unciphered per rispondere in modo esauriente, ma ha osservato che sembrava un "attacco di downgrade RDP", segnalato pubblicamente come rischio tre anni fa.

Un rappresentante stampa del Maker di portafogli hardware ha affermato che non erano a conoscenza di alcun tentativo da parte di Unciphered di contattarli direttamente, anche se, "come comunicato sul nostroblogall'inizio del 2020, gli attacchi di downgrade RDP richiedono il furto fisico di un dispositivo, conoscenze tecnologiche estremamente sofisticate e attrezzature avanzate".

Trezor ha aggiunto che "anche con quanto sopra, i Trezor possono essere protetti da una passphrase forte, che aggiunge un ulteriore livello di sicurezza che rende inutile un downgrade RDP".

I portafogli hardware sono improvvisamente al centro dell'attenzione a seguito della recente reazione pubblica contro il Maker rivale Ledger per la sua proposta opzionale "opzione di ripristino", che ha fatto infuriare alcuni utenti che avevano pensato che il dispositivo fosse completamente isolato. Molti esperti di sicurezza Cripto hanno raccomandato i portafogli hardware come un luogo più sicuro in cui conservare le risorse rispetto alla conservazione in borsa, soprattutto dopo il crollo dell'exchange FTX di Sam Bankman-Fried avvenuto lo scorso anno, ma le ultime rivelazioni dimostrano che anche questi dispositivi T sono infallibili.

Continua a leggere: Il fornitore di portafogli Cripto Ledger ritarda il servizio di recupero delle chiavi dopo il putiferio

Unciphered ha affermato che T avrebbe confermato o negato se il suo hack del Trezor T sarebbe stato considerato un declassamento dell'RDP, citando "impegni attuali e accordi di non divulgazione" che limitano l'elaborazione su "come funziona questa catena di exploit in questo momento".

"Inoltre, qualsiasi Dichiarazione informativa tecnica esporrebbe i clienti di Satoshilabs a potenziali rischi finché non verranno utilizzate misure di mitigazione come un nuovo chip diverso dall'STM32 attualmente in uso", secondo Unciphered.

Unciphered ha sottolineato che, nonostante Trezor sia a conoscenza del fatto che il modello Trezor T presenta una vulnerabilità nel suo chip STM32, l'azienda non ha fatto nulla per porvi rimedio dopo il tentativo iniziale di pubblicizzare il rischio.

"Resta il fatto che attraverso questo articolo stanno cercando di mettere la responsabilità di proteggere il loro dispositivo sul cliente piuttosto che assumersi la responsabilità di ammettere che il loro dispositivo è fondamentalmente insicuro", ha scritto Unciphered in un'e-mail a CoinDesk.

Secondo Trezor: "Contrariamente alle affermazioni di Unciphered, Trezor ha già adottato misure significative per risolvere questo problema con lo sviluppo diil primo elemento sicuro verificabile e trasparente al mondoattraverso la società affiliata Tropic Square."

Opzioni alternative ai portafogli hardware

Vale la pena sottolineare che il vettore di attacco di Unciphered funziona solo con il dispositivo in possesso fisico dell’hacker.

"La sicurezza è che la minaccia può spesso provenire dall'interno della casa", ha affermato Nick Federoff, responsabile marketing di Unciphered. "Possiamo essere il nostro peggior nemico. Quindi questa è una parte importante".

Quando un utente configura un portafoglio hardware, il portafoglio genera un set casuale di 12 o 24 parole, noto come frase seed, che consente l'accesso alle risorse presenti sul portafoglio.

Come parte dello sforzo di Unciphered per dimostrare la sua capacità, i funzionari dell'azienda hanno chiesto a CoinDesk di acquisire un nuovo portafoglio Trezor T , di impostarlo con la nostra frase seme e di scriverla in un posto sicuro. L'abbiamo quindi inviato tramite un'opzione di posta sicura al laboratorio di Unciphered, dove hanno proceduto a hackerarlo (registrando alcuni dei passaggi in un video) e alla fine siamo riusciti a recuperare la nostra frase seed e il nostro pin. Il passaggio aggiuntivo di coinvolgere CoinDesk è stato suggerito dal team di Unciphered come un modo per fornire la garanzia che la procedura T fosse falsificata o che il dispositivo T fosse stato compromesso da un precedente proprietario.

Il dispositivo viene venduto al dettaglio a $ 219 sul sito dell'aziendasito web.

Unciphered ha riconosciuto di non aver contattato Trezor per informarli della vulnerabilità prima di tentare di pubblicizzarla tramite un articolo su CoinDesk; spesso, questi hacker "white hat" lavoreranno in modo più cooperativo. "Unciphered non ha contattato Trezor né tramite il nostro programma Dichiarazione informativa responsabile né in altro modo", ha affermato un rappresentante stampa di Trezor.

Unciphered ha dichiarato a CoinDesk di non aver contattato Trezor perché "i nostri obblighi sono nei confronti dei consumatori e non dei venditori, che hanno interessi personali nel vendere più prodotti, indipendentemente da quanto vulnerabili siano i clienti che li utilizzano".

Continua a leggere: Portafogli Cripto HOT e freddi: quali sono le differenze?