Το ελάττωμα στο Secure Element
Η ευπάθεια ανακαλύφθηκε από την Ledger Donjon, την εσωτερική ομάδα έρευνας ασφαλείας της ανταγωνίστριας της Trezor, Ledger. Επηρεάζει το τσιπ TROPIC01, έναν αποκλειστικό επεξεργαστή ασφαλείας σχεδιασμένο να προστατεύει τα ιδιωτικά κλειδιά και τις ευαίσθητες λειτουργίες. Ο έλεγχος δεν διευκρίνισε αν η ευπάθεια μπορεί να εκμεταλλευτεί εξ αποστάσεως ή απαιτεί φυσική πρόσβαση, αλλά η Trezor έχει αναγνωρίσει το εύρημα.
Τα Secure Elements αποτελούν βασικό εξάρτημα στα υλικά πορτοφόλια, σχεδιασμένα να παρέχουν ένα επιπλέον επίπεδο προστασίας έναντι παραβιάσεων και επιθέσεων πλευρικού καναλιού. Μια αδυναμία σε αυτό το εξάρτημα θα μπορούσε θεωρητικά να επιτρέψει σε έναν εισβολέα να εξάγει κλειδιά ή να παρακάμψει τους ελέγχους ασφαλείας. Η Trezor δεν έχει δημοσιοποιήσει λεπτομέρειες σχετικά με την ακριβή φύση του ελαττώματος, παραπέμποντας στην συνεχιζόμενη διαδικασία ελέγχου.
Η απάντηση της Trezor
Σε δήλωση μετά την αποκάλυψη, η Trezor ανέφερε ότι τα κεφάλαια των χρηστών είναι «ασφαλή». Η εταιρεία δεν ανακοίνωσε ανάκληση, ενημέρωση υλικολογισμικού, ή κάποια άμεση ενέργεια για τους πελάτες. Η διαβεβαίωση υποδηλώνει ότι η ευπάθεια δεν εκθέτει τα ενεργά πορτοφόλια σε κλοπή υπό κανονικές συνθήκες, ή ότι η επίθεση απαιτεί συνθήκες που είναι δύσκολο να επιτευχθούν στην πράξη.
Η προσέγγιση της Trezor στην ασφάλεια βασίζεται συχνά στη διαφάνεια—η εταιρεία δημοσιεύει υλικολογισμικό ανοικτού κώδικα και έχει προσκαλέσει στο παρελθόν ελέγχους τρίτων. Αλλά η σιωπή σχετικά με μια επιδιόρθωση αφήνει ανοιχτά κάποια ερωτήματα. Άλλοι κατασκευαστές υλικών πορτοφολιών συνήθως αναπτύσσουν μια ενημέρωση λίγο μετά την αναφορά μιας ευπάθειας, ακόμη κι αν ο κίνδυνος είναι χαμηλός.
Ο ρόλος της Ledger Donjon
Η Ledger Donjon έχει ιστορικό εντοπισμού ελαττωμάτων σε προϊόντα ανταγωνιστών. Η ομάδα είχε προηγουμένως αποκαλύψει αδυναμίες σε παλαιότερα μοντέλα της Trezor, συμπεριλαμβανομένων των One και Model T. Αυτό το τελευταίο εύρημα επεκτείνει αυτό το μοτίβο. Η Ledger και η Trezor ανταγωνίζονται για την ίδια αγορά χρηστών κρυπτονομισμάτων που επιθυμούν ψυχρή αποθήκευση, οπότε ο έλεγχος φέρει μια νότα αντιπαλότητας. Ωστόσο, η ίδια η αποκάλυψη ακολουθεί τα βιομηχανικά πρότυπα: οι ερευνητές μοιράζονται τα ευρήματα με τον προμηθευτή πριν τα δημοσιοποιήσουν, δίνοντας χρόνο για μια επιδιόρθωση.
Δεν είναι σαφές πότε ξεκίνησε ο έλεγχος ή πόσο χρόνο είχε η Trezor να ανταποκριθεί πριν από τη δημοσιοποίηση της είδησης. Η απουσία μιας ενημέρωσης κατά τη στιγμή της αποκάλυψης μπορεί να υποδηλώνει ότι η ευπάθεια θεωρείται χαμηλής σοβαρότητας, ή ότι απαιτείται αναθεώρηση υλικού και όχι απλή ενημέρωση λογισμικού.
Τι πρέπει να γνωρίζουν οι χρήστες
Προς το παρόν, το μήνυμα της Trezor είναι απλό: μην κάνετε τίποτα. Η εταιρεία διατηρεί ότι τα κεφάλαια δεν διατρέχουν κίνδυνο. Οι χρήστες που ανησυχούν μπορούν να λάβουν βασικές προφυλάξεις—χρησιμοποιώντας μια ισχυρή φράση πρόσβασης, διατηρώντας το υλικολογισμικό ενημερωμένο και αγοράζοντας συσκευές μόνο από επίσημα κανάλια. Αλλά η Trezor δεν έχει εκ
