OneKey, криптографиялык аппараттык капчыктарды камсыз кылган компания, анын аппараттык капчыктарынын биринин бир секунданын ичинде бузулушуна мүмкүндүк берген микропрограммадагы мүчүлүштүктөрдү оңдогондугун билдирди.
Киберкоопсуздук тармагындагы Unciphered фирмасы 10-февралда YouTube сайтына жүктөлгөн видеодо OneKey Miniнин "чоң ири мүчүлүштүктөн" пайдаланып, аны пайдалануу аркылуу "ачуу" каражатын тапканын айтты.
Unciphered компаниясынын өнөктөшү Эрик Мичауддун айтымында, OneKey Mini'ни "заводдук режимге" кайтарып, аппаратты ажыратып, коддоону киргизүү менен коопсуздук пинди айланып өтүүгө мүмкүн болгон. Бул потенциалдуу чабуулчуга капчыкты калыбына келтирүү үчүн колдонулган мнемоникалык фразаны алып салууга мүмкүндүк берет. Бул аппаратты "заводдук режимге" кайтаруу аркылуу мүмкүн болду.
«Сизде борбордук процессор, ошондой эле коопсуздук элементи бар. Сиздин криптографиялык ачкычтарыңыз ар дайым коопсуз элементте сакталат. Мичауд белгилегендей, типтүү кырдаалда борбордук процессордун (CPU) ортосундагы байланыштар иштетилип жаткан жерде жана коопсуз элемент шифрленген.
«Мындан көрүнүп тургандай, бул учурда ал андай кылуу үчүн курулган эмес. "Сиз эмне кылсаңыз болот, ортого байланыштарды көзөмөлдөп, аларды кармап, андан кийин өз буйруктарын киргизе турган куралды коюу," деди ал жана мындай деп кошумчалады: "Мындай сөз айкаштары жана коопсуздуктун негизги практикалары, атүгүл физикалык чабуулдар да ачыкка чыккан. Шифрленбеген нерсе OneKey колдонуучуларына таасирин тийгизбейт."
Компания алсыздыкка байланыштуу болгонуна карабастан, Unciphered тарабынан ачылган чабуул векторун алыстан колдонуу мүмкүн эмес экенин баса белгиледи. Анын ордуна, аны аткаруу үчүн "түзмөктү демонтаждоо жана лабораторияда атайын FPGA аппараты аркылуу физикалык жетүү" талап кылынат.
OneKey айтымында, Unciphered менен талкуулоодон кийин, башка капчыктар да ушундай кыйынчылыктарга дуушар болгону ачыкка чыккан. Бул башка капчыктарда да ушундай эле маселе бар экени аныкталганда ачыкка чыкты.
OneKey, алар компаниянын коопсуздугуна кошкон салымы үчүн ыраазычылык билдирүү жолу катары Unciphered сыйлыктары менен компенсацияланганын айтты.
OneKey өзүнүн блогунда өзүнүн кардарларынын коопсуздугун камсыз кылуу үчүн олуттуу чараларды көргөнүн айтты. Бул сактык чараларга хакер чыныгы капчыкты алардын көзөмөлүндөгү капчыкты алмаштырганда пайда болуучу жеткирүү чынжырынын чабуулдарынан кардарларды коргоо кирет.
Жөнөтүүлөр үчүн бурмалоого каршы таңгактоо OneKey тарабынан жасалган кадамдардын бири болуп калды, ошону менен бирге Apple компаниясынын өздүк камсыздоо чынжырчасын тейлөө провайдерлери менен камсыз кылуу чынжырчасынын коопсуздугун катуу башкарууну камсыз кылуу максатында колдонулат.
Алар жакынкы келечекте борттогу аутентификацияны кошууга жана жогорку деңгээлдеги коопсуздук компоненттери менен жаңы аппараттык капчыктарды жаңыртууга умтулушат.
OneKey айткандай, аппараттык капчыктардын негизги максаты ар дайым колдонуучулардын финансылык активдерин киберчабуулдардан, компьютердик вирустардан жана башка потенциалдуу коркунучтардан коргоо болгон; Ошентсе да, тилекке каршы, эч нерсе толугу менен коопсуз боло албайт.
«Биз кремний кристаллдарынан чип кодуна чейин, микропрограммадан баштап аппараттык капчыктарды өндүрүү процессин карап чыкканда. программалык камсыздоо, бул кандайдыр бир аппараттык тоскоолдук жетиштүү акча, убакыт жана ресурстар менен бузууга болот деп айтууга болот; ядролук куралды контролдоо системасы болсо да». "Биз кремний кристаллдарынан чип кодуна, микропрограммадан программалык камсыздоого чейин аппараттык капчыктарды өндүрүү процессин карап чыкканда,"
Булак: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked