Defekti në Secure Element
Vulnerabiliteti u zbulua nga Ledger Donjon, ekipi i brendshëm i kërkimit të sigurisë i rivalit të Trezor, Ledger. Ai prek çipin TROPIC01, një procesor i dedikuar i sigurisë i krijuar për të mbrojtur çelësat privatë dhe operacionet e ndjeshme. Auditimi nuk specifikoi nëse vulnerabiliteti mund të shfrytëzohej në distancë apo kërkonte akses fizik, por Trezor e ka pranuar gjetjen.
Elementet Secure janë një komponent standard në portofolet harduer, të destinuar për të ofruar një shtresë shtesë mbrojtjeje kundër ndërhyrjeve dhe sulmeve të kanaleve anësore. Një dobësi në këtë komponent mund të lejonte teorikisht një sulmues të nxirrte çelësa ose të anashkalonte kontrollet e sigurisë. Trezor nuk ka publikuar detaje mbi natyrën e saktë të defektit, duke u referuar në vend të kësaj në procesin e vazhdueshëm të auditimit.
Përgjigja e Trezor
Në një deklaratë pas zbulimit, Trezor tha se fondet e përdoruesve janë 'të sigurta.' Kompania nuk njoftoi për një tërheqje, një përditësim firmware, ose ndonjë veprim të menjëhershëm për klientët. Sigurimi sugjeron se vulnerabiliteti nuk i ekspozon portofolet aktive ndaj vjedhjes në kushte normale, ose se sulmi kërkon kushte që janë të vështira për t'u përmbushur në praktikë.
Qasja e Trezor ndaj sigurisë shpesh mbështetet në transparencë—kompania publikon firmware me burim të hapur dhe ka ftuar auditime nga palë të treta në të kaluarën. Por heshtja për një rregullim lë disa pyetje të hapura. Prodhuesit e tjerë të portofoleve harduer zakonisht vendosin një përditësim menjëherë pas raportimit të një vulnerabiliteti, edhe nëse rreziku është i ulët.
Roli i Ledger Donjon
Ledger Donjon ka një histori të gjetjes së defekteve në produktet konkurruese. Ekipi më parë zbuloi dobësi në modelet e mëparshme të Trezor, përfshirë One dhe Model T. Kjo gjetje e fundit e zgjeron atë model. Ledger dhe Trezor konkurrojnë për të njëjtin treg të përdoruesve të kriptomonedhave që duan ruajtje të ftohtë, kështu që auditimi mbart një nuancë rivaliteti. Megjithatë, vetë zbulimi ndjek normat e industrisë: studiuesit ndajnë gjetjet me shitësin përpara se të bëhen publike, duke dhënë kohë për një rregullim.
Nuk është e qartë se kur filloi auditimi ose sa kohë pati Trezor për t'u përgjigjur përpara se lajmi të shpërthente. Mungesa e një patch-i në kohën e zbulimit mund të tregojë se vulnerabiliteti konsiderohet i nivelit të ulët të rrezikut, ose se kërkohet një rishikim harduer në vend të një përditësimi të thjeshtë softuerik.
Çfarë duhet të dinë përdoruesit
Tani për tani, mesazhi i Trezor është i drejtpërdrejtë: mos bëni asgjë. Kompania mban qëndrimin se fondet nuk janë në rrezik. Përdoruesit që janë të shqetësuar mund të marrin masa paraprake themelore—përdorimi i një fraze të fortë kalimi, mbajtja e firmware-it të përditësuar dhe blerja e pajisjeve vetëm nga kanale zyrtare. Por Trezor nuk ka lëshuar një paralajmërim specifik ose ndryshim në udhëzime.
Episodi n
