Trezor og brikkedesigneren Tropic Square har offentliggjort en sikkerhetsfeil i den integrerte kretsen TROPIC01. Sårbarheten ble avdekket under en sikkerhetsrevisjon ledet av Ledger Donjon, maskinvaresikkerhetsteamet til rivaliserende lommebokprodusent Ledger. Trezor sier at deres Safe 7-lommebok og brukermidler ikke er i fare til tross for problemet.
Oppdagelsen av sårbarheten
Ledger Donjons revisjon identifiserte en svakhet i TROPIC01-brikken, en komponent som brukes i enkelte maskinvarelommebøker. Verken Trezor eller Tropic Square har detaljert den nøyaktige karakteren av feilen, men offentliggjøringen bekrefter at den eksisterer. Revisjonen var en del av en rutinemessig gjennomgang av brikkens sikkerhet før bredere utrulling.
Hva Trezor sier om Safe 7
Trezor var raskt ute med å berolige brukerne. Selskapet uttalte at Safe 7-lommeboken — som er avhengig av TROPIC01-brikken — forblir sikker. Brukermidler er ikke eksponert, og eiere trenger ikke å gjøre noe. Trezor spesifiserte ikke om en firmwareoppdatering eller annen avbøtende tiltak er planlagt, kun at sårbarheten ikke påvirker lommebokens nåværende drift.
Brikkens rolle og neste steg
TROPIC01 er en åpen kildekode-sikkerhetsbrikke utviklet av Tropic Square, et tsjekkisk selskap som samarbeider tett med Trezor. Brikken er designet for å gi en verifiserbar, transparent maskinvare-troverdig rot. Selv om den oppdagede feilen ikke påvirker Safe 7, reiser den spørsmål om fremtidige produkter som kan bruke brikken. Tropic Square har ikke annonsert en tidsplan for en rettelse eller en revidert versjon av TROPIC01.
Foreløpig har Trezor og Tropic Square kun delt det absolutte minimum — en sårbarhet eksisterer, men den er innkapslet. Brukere kan fortsette å bruke Safe 7-lommebøkene sine som normalt. De fullstendige tekniske detaljene om feilen holdes skjult, sannsynligvis til en oppdatering eller en ny brikkerevisjon er klar.
