OneKey, kompanija koja nudi kriptografske hardverske novčanike, rekla je da je već zakrpila propust u svom firmveru koji je omogućio da jedan od njegovih hardverskih novčanika bude kompromitovan za manje od jedne sekunde.
Unciphered, firma u oblasti sajber bezbjednosti, rekla je u video snimku koji je postavljen na YouTube 10. februara da je otkrila način da „provali“ OneKey Mini tako što je iskoristila „ogromnu veliku grešku“ i iskoristila ga.
Bilo je moguće, prema Eric Michaudu, partneru u Unciphered-u, vratiti OneKey Mini u “fabrički režim” i zaobići sigurnosni pin rastavljanjem uređaja i umetanjem kodiranja. Ovo bi omogućilo potencijalnom napadaču da ukloni mnemoničku frazu koja se koristi za oporavak novčanika. To je omogućeno vraćanjem uređaja u "fabrički način rada".
“Imate centralnu procesorsku jedinicu kao i sigurnosni element. Vaši kriptografski ključevi će uvijek biti pohranjeni u sigurnom elementu. Michaud je primijetio da su u tipičnoj situaciji veze između centralne procesorske jedinice (CPU), gdje se vrši obrada, i sigurnog elementa šifrirane.
“Pa, kako se ispostavilo, u ovom konkretnom slučaju, nije napravljen za to. “Ono što biste mogli učiniti je staviti alat u sredinu koji nadgleda komunikaciju i presreće je, a zatim ubacuje njihove vlastite komande”, rekao je, dodajući: “S obzirom na to, uz fraze lozinki i osnovne sigurnosne prakse, čak i fizički napadi otkriveni od strane Nešifrirano neće uticati na korisnike OneKey-a.”
Kompanija je dalje naglasila da uprkos činjenici da je ranjivost zabrinjavajuća, vektor napada koji je otkrio Unciphered ne može se koristiti na daljinu. Umjesto toga, potrebno je "rastavljanje uređaja i fizički pristup preko namjenskog FPGA uređaja u laboratoriji" kako bi se moglo izvršiti.
Prema OneKey-u, nakon razgovora sa Unciphered-om, otkriveno je da su i drugi novčanici imali slične poteškoće. Ovo je otkriveno kada je otkriveno da drugi novčanici imaju isti problem.
OneKey je rekao da su Uncipheredu nadoknadili nagrade kao način izražavanja zahvalnosti za njihov doprinos sigurnosti kompanije.
OneKey je u blog postu rekao da je već poduzeo značajne mjere opreza kako bi osigurao sigurnost svojih kupaca. Ove mjere predostrožnosti uključuju zaštitu kupaca od napada u lancu snabdijevanja, do kojih dolazi kada haker zamijeni pravi novčanik onim koji je pod njihovom kontrolom.
Pakovanje za pošiljke zaštićeno od neovlaštenog otvaranja jedan je od koraka koje je preduzeo OneKey, zajedno sa korištenjem Apple-ovih vlastitih dobavljača usluga u lancu opskrbe u svrhu osiguravanja čvrstog upravljanja sigurnošću lanca opskrbe.
Imaju aspiracije da dodaju ugrađenu autentifikaciju u ne tako dalekoj budućnosti i da ažuriraju novije hardverske novčanike sa sigurnosnim komponentama višeg nivoa.
Prema onome što je rekao OneKey, primarni cilj hardverskih novčanika oduvijek je bio da zaštite finansijsku imovinu korisnika od sajber-napada, kompjuterskih virusa i drugih potencijalnih prijetnji; ipak, nažalost, ništa ne može biti potpuno sigurno.
“Kada pogledamo cijeli proces proizvodnje hardverskih novčanika, od kristala silikona do čip koda, od firmvera do softver, sa sigurnošću se može reći da se svaka hardverska barijera može probiti uz dovoljno novca, vremena i resursa; čak i ako je to sistem kontrole nuklearnog oružja.” “Kada pogledamo cijeli proces proizvodnje hardverskih novčanika, od kristala silikona do čip koda, od firmvera do softvera,”
Izvor: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked