OneKey-მა, კომპანიამ, რომელიც უზრუნველყოფს კრიპტოგრაფიული ტექნიკის საფულეებს, განაცხადა, რომ მან უკვე გამოასწორა თავისი პროგრამული უზრუნველყოფის ხარვეზი, რამაც შესაძლებელი გახადა მისი ერთ-ერთი ტექნიკის საფულე კომპრომეტირებული ყოფილიყო ერთ წამში.
კიბერუსაფრთხოების სფეროში ფირმა Unciphered-მა თქვა ვიდეოში, რომელიც აიტვირთა YouTube-ზე 10 თებერვალს, რომ აღმოაჩინა საშუალება OneKey Mini-ის „გახსნის“ „მასიური ძირითადი ხარვეზის“ გამოყენებით და მისი გამოყენების გზით.
Unciphered-ის პარტნიორის ერიკ მიშოს თქმით, შესაძლებელი იყო OneKey Mini-ის დაბრუნება „ქარხნულ რეჟიმში“ და უსაფრთხოების პინის გვერდის ავლით მოწყობილობის დაშლითა და კოდირების ჩასმით. ეს საშუალებას მისცემს პოტენციურ თავდამსხმელს ამოიღოს მნემონური ფრაზა, რომელიც გამოიყენება საფულის აღსადგენად. ეს შესაძლებელი გახდა მოწყობილობის "ქარხნულ რეჟიმში" დაბრუნებით.
„თქვენ გაქვთ ცენტრალური დამუშავების განყოფილება, ასევე უსაფრთხოების ელემენტი. თქვენი კრიპტოგრაფიული გასაღებები ყოველთვის შეინახება უსაფრთხო ელემენტში. მიშომ აღნიშნა, რომ ტიპიურ სიტუაციაში, კავშირები ცენტრალურ დამუშავების ერთეულს (CPU) შორის, სადაც ხდება დამუშავება, და უსაფრთხო ელემენტს შორის დაშიფრულია.
„ისე, როგორც ირკვევა, ამ კონკრეტულ შემთხვევაში, ეს არ არის აგებული. ”რაც შეგიძლიათ გააკეთოთ არის შუაში ინსტრუმენტის დაყენება, რომელიც მონიტორინგს უწევს კომუნიკაციებს და წყვეტს მათ და შემდეგ აწვდის საკუთარ ბრძანებებს,” - თქვა მან და დასძინა: ”ასე რომ ითქვა, პაროლის ფრაზებით და ძირითადი უსაფრთხოების პრაქტიკით, თუნდაც ფიზიკური შეტევებით, რომლებიც გამჟღავნებულია Unciphered არ იმოქმედებს OneKey მომხმარებლებზე.
კომპანიამ გააგრძელა ხაზგასმით, რომ მიუხედავად იმისა, რომ დაუცველობა შემაშფოთებელი იყო, Unciphered-ის მიერ აღმოჩენილი თავდასხმის ვექტორი დისტანციურად არ შეიძლება გამოყენებულ იქნას. ამის ნაცვლად, ის მოითხოვს „მოწყობილობის დაშლას და ფიზიკურ წვდომას ლაბორატორიაში გამოყოფილი FPGA მოწყობილობის მეშვეობით“, რათა შესაძლებელი იყოს შესრულება.
OneKey-ის თანახმად, Unciphered-თან დისკუსიის შემდეგ გაირკვა, რომ სხვა საფულეებსაც ჰქონდათ მსგავსი სირთულეები. ეს გაირკვა, როდესაც გაირკვა, რომ სხვა საფულეებს იგივე პრობლემა ჰქონდათ.
OneKey-მ თქვა, რომ მათ კომპენსაცია გაუწიეს Unciphered-ს საჩუქრებით, როგორც მადლიერების გამოხატვის საშუალება კომპანიის უსაფრთხოებაში შეტანილი წვლილისთვის.
OneKey-მ ბლოგპოსტში განაცხადა, რომ მან უკვე მიიღო მნიშვნელოვანი ზომები თავისი მომხმარებლების უსაფრთხოების უზრუნველსაყოფად. ეს სიფრთხილის ზომები მოიცავს მომხმარებელთა დაცვას მიწოდების ჯაჭვის თავდასხმებისგან, რაც ხდება მაშინ, როდესაც ჰაკერი ცვლის რეალურ საფულეს, რომელიც მათ კონტროლს ექვემდებარება.
გადაზიდვებისთვის ხელშემწყობი შეფუთვა იყო OneKey-ის მიერ გადადგმული ერთ-ერთი ნაბიჯი, Apple-ის საკუთარი მიწოდების ჯაჭვის სერვისის პროვაიდერების გამოყენებასთან ერთად, მიწოდების ჯაჭვის უსაფრთხოების მკაცრი მართვის უზრუნველსაყოფად.
მათ აქვთ მისწრაფება დაამატონ ბორტზე ავტორიზაცია არც თუ ისე შორეულ მომავალში და განაახლონ უახლესი აპარატურის საფულეები უმაღლესი დონის უსაფრთხოების კომპონენტებით.
OneKey-ის თანახმად, ტექნიკის საფულეების ძირითადი მიზანი ყოველთვის იყო მომხმარებლების ფინანსური აქტივების დაცვა კიბერშეტევებისგან, კომპიუტერული ვირუსებისგან და სხვა პოტენციური საფრთხეებისგან; თუმცა, სამწუხაროდ, არაფერი შეიძლება იყოს სრულიად უსაფრთხო.
”როდესაც ჩვენ ვუყურებთ ტექნიკის საფულეების წარმოების მთელ პროცესს, სილიკონის კრისტალებიდან ჩიპების კოდამდე, პროგრამული უზრუნველყოფიდან დაწყებული პროგრამული უზრუნველყოფა, თამამად შეიძლება ითქვას, რომ ნებისმიერი ტექნიკის ბარიერი შეიძლება დაირღვეს საკმარისი ფულით, დროისა და რესურსებით; თუნდაც ეს იყოს ბირთვული იარაღის კონტროლის სისტემა“. ”როდესაც ჩვენ ვუყურებთ ტექნიკის საფულეების წარმოების მთელ პროცესს, სილიკონის კრისტალებიდან ჩიპის კოდამდე, firmware-დან პროგრამულ უზრუნველყოფამდე.”
წყარო: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked