Криптографийн хэтэвчээр хангадаг OneKey компани нь програм хангамжийнхаа алдааг засч, нэг секундын дотор техник хангамжийн түрийвчээ эвдэх боломжтой болсон гэж мэдэгджээ.
Кибер аюулгүй байдлын чиглэлээр ажилладаг Unciphered компани 10-р сарын XNUMX-нд YouTube-д байршуулсан видео бичлэгтээ OneKey Mini-г "их том дутагдал"-ыг ашиглан "нээлгэх" аргыг олсон гэж мэдэгджээ.
Unciphered-ийн хамтрагч Эрик Мичаудын хэлснээр OneKey Mini-г "үйлдвэрийн горимд" буцааж, төхөөрөмжийг задалж, код оруулах замаар хамгаалалтын зүүг тойрч гарах боломжтой байв. Энэ нь халдагчид түрийвчээ сэргээхэд ашигладаг мнемоник хэллэгийг устгах боломжийг олгоно. Энэ нь төхөөрөмжийг "үйлдвэрийн горим" руу буцаах замаар боломжтой болсон.
“Танд төвлөрсөн боловсруулалтын нэгж, мөн хамгаалалтын элемент байна. Таны криптограф түлхүүрүүд үргэлж аюулгүй элементэд хадгалагдах болно. Ердийн нөхцөлд боловсруулалт хийдэг төв процессор (CPU) болон аюулгүй элементийн хоорондох холболтууд шифрлэгдсэн байдаг гэж Мичауд тэмдэглэв.
"За, энэ тохиолдолд үүнийг хийхээр бүтээгдээгүй нь тодорхой болсон. "Таны хийж чадах зүйл бол харилцаа холбоог хянаж, таслан зогсоож, дараа нь өөрийн командуудыг оруулдаг хэрэгсэл байрлуулах явдал юм" гэж тэр нэмж хэлэв: "Нууц үг хэллэг, аюулгүй байдлын үндсэн арга барил, тэр ч байтугай физик халдлагыг хүртэл илчилдэг. Шифрлэгдээгүй нь OneKey хэрэглэгчдэд нөлөөлөхгүй."
Хэдийгээр эмзэг байдал нь хамааралтай байсан ч Unciphered-ийн илрүүлсэн халдлагын векторыг алсаас ашиглах боломжгүй гэдгийг тус компани онцоллоо. Үүний оронд гүйцэтгэх боломжтой байхын тулд "төхөөрөмжийг задлах, лабораторид тусгай зориулалтын FPGA төхөөрөмжөөр дамжуулан физик хандалт хийх" шаардлагатай.
OneKey-ийн мэдээлснээр Unciphered-тэй ярилцсаны дараа бусад түрийвчнүүд үүнтэй төстэй хүндрэлтэй байгааг илчилсэн. Бусад түрийвчнүүд ижил асуудалтай байгааг олж мэдээд үүнийг илчилсэн.
OneKey компанийн аюулгүй байдлыг хангахад оруулсан хувь нэмрийг нь илэрхийлэхийн тулд тэд Unciphered-д шагнал урамшуулал олгосон гэж мэдэгдэв.
OneKey блогтоо бичсэнээр үйлчлүүлэгчдийнхээ аюулгүй байдлыг хангахын тулд томоохон урьдчилан сэргийлэх арга хэмжээ авсан гэж мэдэгджээ. Эдгээр урьдчилан сэргийлэх арга хэмжээнд хакер жинхэнэ түрийвчээ өөрийн хяналтанд байгаа түрийвчээр солих үед тохиолддог нийлүүлэлтийн сүлжээний халдлагаас хэрэглэгчдийг хамгаалах зэрэг багтана.
Ачаа зөөвөрлөхөд саад учруулахгүй сав баглаа боодол нь нийлүүлэлтийн сүлжээний аюулгүй байдлын хатуу удирдлагыг хангах зорилгоор Apple-ийн өөрийн нийлүүлэлтийн сүлжээний үйлчилгээ үзүүлэгчдийг ашиглахын зэрэгцээ OneKey-ийн хийсэн алхамуудын нэг юм.
Тэд ойрын ирээдүйд самбар дээрх нэвтрэлт танилтыг нэмж, хамгийн сүүлийн үеийн техник хангамжийн түрийвчээ аюулгүй байдлын дээд түвшний бүрэлдэхүүн хэсгүүдээр шинэчлэх хүсэл эрмэлзэлтэй байна.
OneKey-ийн хэлснээр техник хангамжийн түрийвчний гол зорилго нь хэрэглэгчдийн санхүүгийн хөрөнгийг кибер халдлага, компьютерийн вирус болон бусад болзошгүй аюулаас хамгаалах явдал байсаар ирсэн; Гэсэн хэдий ч харамсалтай нь юу ч бүрэн аюулгүй байж чадахгүй.
“Бид цахиурын талстаас эхлээд чип код, програм хангамжаас эхлээд техник хангамжийн түрийвч үйлдвэрлэх үйл явцыг бүхэлд нь авч үзэхэд. програм хангамж, ямар ч техник хангамжийн саад бэрхшээлийг хангалттай мөнгө, цаг хугацаа, нөөцөөр даван туулах боломжтой гэж хэлэхэд аюулгүй; цөмийн зэвсгийн хяналтын систем байсан ч гэсэн.” "Бид цахиурын талстаас эхлээд чип код, програм хангамжаас программ хангамж хүртэлх техник хангамжийн түрийвчний үйлдвэрлэлийн процессыг бүхэлд нь авч үзэхэд"
Эх сурвалж: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked