Исследователи из Kraken Security Labs сообщили, что аппаратный кошелек криптовалюты KeepKey можно взломать за 15 минут, если к нему есть физический доступ.
Kraken Security Labs has found a way to extract seeds from a KeepKey cryptocurrency hardware wallet. Full story here:https://t.co/iPMKNhG2Jg
— Kraken Exchange (@krakenfx) December 10, 2019
В своем блоге Kraken Security Labs подробно описывает, что с помощью атаки «сбоев напряжения», которая извлекает зашифрованную seed-фразу, используемую для доступа к шифрованию, хранящемуся на устройстве KeepKey, хакеры легко смогут взломать 1-9-значный PIN-код пользователя.
По оценкам Кракена, можно за 75 долларов создать не сложное устройство для атак «скачков напряжения» и при помощи этих атак управлять питанием микроконтроллера, используемого в самом кошельке KeepKey, чтобы дальше осуществлять взломы.
Кракен также отметил, что данная уязвимость присуща микроконтроллерам KeepKey и для ее устранения необходимо обновить встроенное ПО.
Пост Кракена гласит:
Атака использует недостатки, присущие микроконтроллеру, который используется в KeepKey (…). Самое важное, что это исследование демонстрирует, что безопасность кошелька, такого как KeepKey, не должна основываться исключительно на безопасности микроконтроллера STM32F205. ,
Чтобы быть в безопасности, Kraken Security Labs добавила, что пользователи криптовалюты ни кому не должны предоставлять физический доступ к своим устройствам KeepKey и разрешать использование паролей BIP39, поскольку они не хранятся на устройстве и, следовательно, не подвержены атакам.
Лаборатория безопасности Kraken заявляет что KeepKey знает об этих типах атак, но утверждает, что его задача состоит в том, чтобы «защитить ваши ключи от удаленных атак». Об этой уязвимости было ответственно объявлено 11 сентября 2019 года, и теперь Kraken публикует ее в своем блоге, чтобы позволить крипто сообществу защищать себя.
