کیف پول سختافزاری ترزور دارای یک آسیبپذیری در تراشه امنیتی TROPIC01 خود است که توسط بازوی امنیتی لجر فاش شده است. شرکت پشت این دستگاههای محبوب ذخیرهسازی سرد به سرعت به کاربران اطمینان داد که با وجود این نقص، وجوه仍 امن باقی میمانند.
نقص در تراشه امنیتی
این آسیبپذیری توسط لجر دُنژون، تیم تحقیقات امنیتی داخلی رقیب ترزور (لجر)، کشف شد. این نقص بر تراشه TROPIC01 تأثیر میگذارد، یک پردازنده امنیتی اختصاصی که برای محافظت از کلیدهای خصوصی و عملیات حساس طراحی شده است. این ممیزی مشخص نکرد که آیا این آسیبپذیری میتواند از راه دور بهرهبرداری شود یا نیازمند دسترسی فیزیکی است، اما ترزور این یافته را تأیید کرده است.
عناصر امنیتی یک جزء استاندارد در کیفپولهای سختافزاری هستند که برای ارائه لایهای اضافی از محافظت در برابر دستکاری و حملات کانال جانبی طراحی شدهاند. ضعف در این مؤلفه میتواند از نظر تئوری به مهاجم اجازه دهد کلیدها را استخراج کند یا بررسیهای امنیتی را دور بزند. ترزور جزئیات دقیق ماهیت نقص را منتشر نکرده است و به فرآیند ممیزی در حال انجام ارجاع داده است.
پاسخ ترزور
در بیانیهای پس از افشا، ترزور اعلام کرد که وجوه کاربران 'ایمن' است. این شرکت هیچ فراخوان، وصله سیستمعامل یا اقدام فوری برای مشتریان اعلام نکرد. این اطمینان نشان میدهد که این آسیبپذیری کیفپولهای فعال را در شرایط عادی در معرض سرقت قرار نمیدهد، یا اینکه حمله به شرایطی نیاز دارد که در عمل برآورده کردن آنها دشوار است.
رویکرد ترزور به امنیت اغلب بر شفافیت متکی است - این شرکت سیستمعامل متنباز منتشر میکند و در گذشته از ممیزیهای شخص ثالث دعوت کرده است. اما سکوت در مورد یک راهحل، برخی پرسشها را بیپاسخ میگذارد. سایر تولیدکنندگان کیفپول سختافزاری معمولاً بلافاصله پس از گزارش یک آسیبپذیری، حتی اگر ریسک کم باشد، بهروزرسانی را عرضه میکنند.
نقش لجر دُنژون
لجر دُنژون سابقهای در یافتن نقص در محصولات رقبا دارد. این تیم پیشتر ضعفهایی را در مدلهای قدیمیتر ترزور، از جمله One و Model T، افشا کرده بود. این آخرین یافته آن الگو را ادامه میدهد. لجر و ترزور برای یک بازار از کاربران ارز دیجیتال که به دنبال ذخیرهسازی سرد هستند، رقابت میکنند، بنابراین این ممیزی حاشیهای از رقابت را به همراه دارد. با این حال، خود افشا از هنجارهای صنعت پیروی میکند: محققان یافتههای خود را قبل از عمومی کردن با فروشنده به اشتراک میگذارند و زمانی برای رفع مشکل فراهم میکنند.
مشخص نیست که ممیزی چه زمانی آغاز شده یا ترزور چه مدت فرصت پاسخ قبل از انتشار خبر داشته است. отсутствие وصله در زمان افشا ممکن است نشاندهنده این باشد که آسیبپذیری با شدت کم در نظر گرفته شده است، یا اینکه به جای یک بهروزرسانی نرمافزاری ساده، نیاز به بازبینی سختافزاری است.
آنچه کاربران باید بدانند
در حال حاضر، پیام ترزور ساده است: هیچ کاری نکنید. این شرکت معتقد است که وجوه در معرض خطر نیستند. کاربرانی که نگران هستند میتوانند اقدامات احتیاطی اولیه را انجام دهند - استفاده از یک عبارت عبور قوی، بهروز نگه داشتن سیستمعامل، و خرید دستگاهها فقط از کانالهای رسمی. اما ترزور هیچ هشدار خاص یا تغییری در راهنماییها صادر نکرده است.
این رویداد بر بازی مداوم گربه و موش در امنیت سختافزار تأکید میکند. کیفپولهایی که زمانی نفوذناپذیر تلقی میشدند، به طور دورهای توسط محققان کلاه سفید آزمایش میشوند و تولیدکنندگان به طور متناسب پاسخ میدهند. آزمایش واقعی زمانی خواهد بود که یک آسیبپذیری آینده جدیتر از این یکی باشد.
