OneKey, uma empresa que fornece carteiras de hardware criptográficas, disse que já corrigiu uma falha em seu firmware que possibilitou que uma de suas carteiras de hardware fosse comprometida em menos de um segundo.
A Unciphered, uma empresa no campo da segurança cibernética, disse em um vídeo que foi carregado no YouTube em 10 de fevereiro que descobriu um meio de “abrir” um OneKey Mini aproveitando uma “grande falha maciça” e explorando-a.
Era possível, de acordo com Eric Michaud, sócio da Unciphered, retornar o OneKey Mini ao “modo de fábrica” e contornar o pino de segurança desmontando o dispositivo e inserindo a codificação. Isso permitiria que um invasor em potencial removesse a frase mnemônica usada para recuperar uma carteira. Isso foi possível retornando o dispositivo ao “modo de fábrica”.
“Você tem a unidade central de processamento, bem como o elemento de segurança. Suas chaves criptográficas sempre serão armazenadas no elemento seguro. Michaud observou que, em uma situação típica, as conexões entre a unidade central de processamento (CPU), que é onde o processamento é feito, e o elemento seguro são criptografadas.
“Bem, como se vê, neste caso particular, não foi construído para isso. “O que você poderia fazer é colocar uma ferramenta no meio que monitore as comunicações e as intercepte e depois injete seus próprios comandos”, disse ele, acrescentando: “Dito isso, com frases de senha e práticas básicas de segurança, até mesmo ataques físicos divulgados por Unciphered não afetará os usuários do OneKey.”
A empresa enfatizou que, apesar de a vulnerabilidade ser preocupante, o vetor de ataque descoberto pelo Unciphered não pode ser usado remotamente. Em vez disso, exige “desmontagem do dispositivo e acesso físico por meio de um dispositivo FPGA dedicado no laboratório” para poder ser executado.
De acordo com a OneKey, após discussão com a Unciphered, foi divulgado que outras carteiras apresentaram dificuldades semelhantes. Isso foi divulgado quando foi descoberto que outras carteiras tinham o mesmo problema.
A OneKey disse que compensou a Unciphered com recompensas como forma de expressar gratidão por suas contribuições para a segurança da empresa.
OneKey disse em um post de blog que já tomou precauções significativas para garantir a segurança de seus clientes. Essas precauções incluem proteger os clientes contra ataques à cadeia de suprimentos, que ocorrem quando um hacker substitui uma carteira real por outra que está sob seu controle.
A embalagem inviolável para remessas foi uma das medidas adotadas pela OneKey, juntamente com o uso dos próprios provedores de serviços da cadeia de suprimentos da Apple com o objetivo de garantir um gerenciamento rígido da segurança da cadeia de suprimentos.
Eles têm aspirações de adicionar autenticação integrada em um futuro não muito distante e atualizar carteiras de hardware mais recentes com componentes de segurança de nível superior.
De acordo com o OneKey, o objetivo principal das carteiras de hardware sempre foi proteger os ativos financeiros dos usuários de ataques cibernéticos, vírus de computador e outras ameaças potenciais; no entanto, infelizmente, nada pode ser completamente seguro.
“Quando olhamos para todo o processo de fabricação de carteiras de hardware, de cristais de silício a códigos de chip, de firmware a Programas, é seguro dizer que qualquer barreira de hardware pode ser quebrada com dinheiro, tempo e recursos suficientes; mesmo que seja um sistema de controle de armas nucleares.” “Quando olhamos para todo o processo de fabricação de carteiras de hardware, de cristais de silício a códigos de chip, de firmware a software,”
Fonte: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked