Trezor vakuutti nopeasti tällä viikolla asiakkailleen, että sen laitteistolompakot pysyvät turvassa, kun kilpailijan Ledgerin laitteiden tietoturva-auditointi paljasti laitteistovian. Haavoittuvuus koskee vain yhtä suojakerrosta, ja sen hyödyntäminen vaatii fyysistä pääsyä, erikoislaitteita ja pitkälle edistynyttä asiantuntemusta, auditoinnin tietojen mukaan.
Mitä auditointi paljasti
Ledger-laitteiden auditoinnissa havaittiin vika yhdessä suojakerroksessa. Kyseessä ei ole etähyökkäys – hyökkääjällä on oltava laite käsissään sekä erikoistyökalut ja merkittävä tekninen osaaminen. Tämä yhdistelmä tekee hyökkäyksestä vaikeasti toteutettavan todellisessa maailmassa.
Trezorin vastaus
Trezor antoi lausunnon, jonka mukaan sen lompakot eivät ole alttiina ongelmalle. Yritys ei mennyt yksityiskohtiin omasta tietoturva-arkkitehtuuristaan, mutta viesti oli selvä: Trezorin käyttäjät ovat turvassa. Ajoitus on Trezorille sopiva – se pääsee erottautumaan kilpailijan kompuroinnista ilman, että sen tarvitsee itse paikata mitään.
Kuinka vakava vika on?
Ledgerin käyttäjille vika on todellinen, mutta hyödyntämiskynnys on korkea. Ilman fyysistä pääsyä ja edistyneitä välineitä haavoittuvuutta ei voida aktivoida. Se ei tarkoita, etteikö sitä kannattaisi korjata – mutta kyse ei ole sellaisesta bugista, joka aiheuttaisi massapaniikkia. Auditointi itsessään muistuttaa, että laitteistoturvallisuus ei ole koskaan kertakaikkinen toimenpide.
Mitä tämä tarkoittaa käyttäjille
Jos käytät Trezoria, sinun ei tarvitse tehdä mitään. Jos käytät Ledgeriä, yritys todennäköisesti julkaisee korjauksen tai ohjeita pian. Tärkein opetus: pidä fyysinen laitteesi turvassa. Mikään koodi ei suojaa sellaiselta, joka saa käsiinsä laitteistosi.
