شرکت ترزور (Trezor) از شناسایی یک آسیبپذیری امنیتی در تراشه بهکاررفته در کیف پول سختافزاری پرچمدار خود، مدل سیف ۷ (Safe 7)، خبر داد. این حفره امنیتی که توسط تیم لجر دونجون (Ledger Donjon) کشف شده، مربوط به یک حمله فیزیکی پیچیده است. با این حال، مسئولان ترزور تأکید کردهاند که به دلیل ساختار چندلایه امنیتی این دستگاه، داراییهای کاربران همچنان در امنیت کامل قرار دارد و هیچ نفوذ موفقی به پینکد یا کلیدهای خصوصی گزارش نشده است. این آسیبپذیری از نوع «تزریق خطای لیزری» است که تراشه امنیتی TROPIC01 را هدف قرار میدهد. این تراشه یکی از سه لایه محافظتی دستگاه محسوب میشود که وظیفه نگهداری از کدهای مخفی مربوط به پینکد را بر عهده دارد. با استخراج یکی از این کدها، لایههای حفاظتی عملاً از سه به دو کاهش مییابد؛ اما مهاجم همچنان برای دسترسی به موجودی، به دور زدن لایههای دیگر نیاز دارد. شایان ذکر است که کلیدهای خصوصی کاربران در این تراشه ذخیره نمیشوند. جزئیات فنی و محدودیتهای اجرایی حمله شرکت ترزور در وبلاگ رسمی خود نوشت: این آسیبپذیری فقط مربوط به تراشه TROPIC01 است که یکی از سه لایه امنیتی فیزیکی و مستقل دستگاه محسوب میشود. نفوذ به این تراشه به تنهایی برای دسترسی به پینکد، که آخرین لایه حفاظتی از داراییهای شماست، کافی نیست. همچنین این نقص نمیتواند منجر به نصب بدافزارهای مخفی و دائمی در دستگاه شود. اجرای این حمله بسیار دشوار است و مستلزم در اختیار داشتن فیزیکی دستگاه، باز کردن قطعات سختافزاری و استفاده از تجهیزات آزمایشگاهی بسیار پیشرفته و گرانقیمت است. به همین علت، ترزور همچنان این تراشه را یک سد دفاعی موثر میداند. از سوی دیگر، به دلیل ماهیت سختافزاری این نقص، امکان برطرف کردن آن از طریق بهروزرسانی نرمافزاری وجود ندارد. دیدگاه کارشناسان درباره امنیت کیف پولهای سرد ددی لاوید (Deddy Lavid)، مدیرعامل شرکت سایورس (Cyvers)، گفت: امنیت کیف پول سختافزاری نباید صرفاً بر اساس امکان حمله به یک تراشه در محیط آزمایشگاهی ارزیابی شود. برای اکثر کاربران، خطرات بسیار بزرگتری مانند فیشینگ، سرقت کلمات بازیابی و تایید تراکنشهای مخرب در اپلیکیشنهای غیرمتمرکز وجود دارد. کارشناسان معتقدند که این نوع حملات برای کاربران عادی «غیرممکن و غیرعملی» است و کیف پولهای سرد همچنان امنترین راه برای نگهداری ارز دیجیتال هستند.
جزئیات فنی و محدودیتهای اجرایی حمله
شرکت ترزور در وبلاگ رسمی خود نوشت:این آسیبپذیری فقط مربوط به تراشه TROPIC01 است که یکی از سه لایه امنیتی فیزیکی و مستقل دستگاه محسوب میشود. نفوذ به این تراشه به تنهایی برای دسترسی به پینکد، که آخرین لایه حفاظتی از داراییهای شماست، کافی نیست. همچنین این نقص نمیتواند منجر به نصب بدافزارهای مخفی و دائمی در دستگاه شود.اجرای این حمله بسیار دشوار است و مستلزم در اختیار داشتن فیزیکی دستگاه، باز کردن قطعات سختافزاری و استفاده از تجهیزات آزمایشگاهی بسیار پیشرفته و گرانقیمت است. به همین علت، ترزور همچنان این تراشه را یک سد دفاعی موثر میداند. از سوی دیگر، به دلیل ماهیت سختافزاری این نقص، امکان برطرف کردن آن از طریق بهروزرسانی نرمافزاری وجود ندارد.
دیدگاه کارشناسان درباره امنیت کیف پولهای سرد
ددی لاوید (Deddy Lavid)، مدیرعامل شرکت سایورس (Cyvers)، گفت:امنیت کیف پول سختافزاری نباید صرفاً بر اساس امکان حمله به یک تراشه در محیط آزمایشگاهی ارزیابی شود. برای اکثر کاربران، خطرات بسیار بزرگتری مانند فیشینگ، سرقت کلمات بازیابی و تایید تراکنشهای مخرب در اپلیکیشنهای غیرمتمرکز وجود دارد.کارشناسان معتقدند که این نوع حملات برای کاربران عادی «غیرممکن و غیرعملی» است و کیف پولهای سرد همچنان امنترین راه برای نگهداری ارز دیجیتال هستند.
