Обнаружена уязвимость в кошельках TREZOR

TREZOR имеет репутацию одного из самых безопасных аппаратных кошельков. И тем не менее, 16 августа, SatoshiLabs сделали рассылку по своим клиентам с уведомлением о том, что их аппаратный кошелек TREZOR нуждается в обновлении прошивки для исправления небольшой проблемы связанной с безопасностью.

Компания сообщила, что уязвимость затрагивает только версии прошивки «ниже 1.5.2».

SatoshiLabs не раскрывает подробности уязвимости и настаивает на том, что только физический доступ к устройству позволит злоумышленникам воспользоваться уязвимостью.

Этой уязвимостью нельзя воспользоваться удаленно. Чтобы воспользоваться злоумышленникам потребуется доступ к устройству TREZOR, и даже более того, им нужно будет разобрать его (ну или избавиться от пластикового корпуса).

Компания всячески успокаивает своих клиентов тем, что их сбережения находятся в безопасности, по крайней мере до тех пор, пока у них есть доступ к своим кошелькам.

SatoshiLabs пообещала предоставить больше информации об этом инциденте в ближайшие дни, а между тем, в сети уже начали появляться различные теории о том, что это за уязвимость и как ней можно воспользоваться.

В посте на Medium автор утверждает, что причина на самом деле заключается в чипах, которые использовала компания для производства кошельков. Более того, автор утверждает, что эту уязвимость нельзя решить обновлением прошивки и даже предлагает подробную инструкции по тому как ее использовать.

TREZOR значительно преуменьшает угрозу этой уязвимости.

Для того чтобы получить информацию из вашего кошелька TREZOR вовсе не обязательно иметь к нему доступ в течении нескольких часов. Для этого вполне достаточно и 15 секунд.