Tadqiqotchilar Trezor va Ledger hamyonlariga hujumlarni namoyish qilmoqdalar

Back to Maqolalar
29Dek

Tadqiqotchilar Trezor va Ledger hamyonlariga hujumlarni namoyish qilmoqdalar

Tadqiqotchilar Trezor va Ledger hamyonlariga hujumlarni namoyish qilmoqdalar

Mutaxassislar mashhur kriptovalyuta apparat hamyonlariga qarshi beshta hujum vektorini aniqladilar.

27-dekabr, payshanba kuni Germaniyaning Leypsig shahrida bo’lib o’tgan 35c3 kongressida Berlinda joylashgan Wallet.fail kampaniyasi tadqiqotchilari mashhur apparat kriptovalyuta hamyonlari Trezor va Ledgerga muvaffaqiyatli hujumlarni namoyish etishdi. «Apparat hamyonlariga qilingan hujumlarimiz mulkiy yuklash vositasi himoyasini buzish va hamyonlar bilan ishlash uchun veb-interfeyslarni buzishdan tortib, hamyonning mikrokontrollerlarida joriy etilgan xavfsizlik mexanizmlarini chetlab o’tish uchun ishdan chiqishlargacha bo’lgan jismoniy hujumlarni qamrab oladi. Bir nechta hamyonlarni keng ko’lamli tahlil qilishimiz tizimli va takrorlanuvchi muammolarni aniqladi», deb xabar berishdi tadqiqotchilar.

Xususan, tadqiqotchilar quyidagilarga erishdilar:

Trezor hamyonining operativ xotirasidan PIN-kod va mnemonik iborani chiqarib oling;

Hacklangan Ledger Nano S hamyonidan foydalanib, tranzaksiyalarni masofadan turib imzolang;

Yon kanal hujumi yordamida Ledger Blue hamyoniga kirish uchun PIN kodini oling;

Ledger Nano S hamyonidagi ishga tushirgich orqali Snake o’yinini ishga tushiring.

Tadqiqotchilarning so’zlariga ko’ra, ular hamyonlardagi turli xil zaifliklarni aniqladilar, ulardan alohida va birgalikda foydalanish mumkin. Wallet.fail jamoasi quyidagi hujum vektorlarini aniqladi: arxitektura, proshivka, apparat, dasturiy ta’minot va jismoniy komponentlar.

Ledgerning so’zlariga ko’ra, tadqiqotchilar tomonidan namoyish etilgan hujumlarni amalda qo’llash qiyin va hech qanday xavf tug’dirmaydi.

Trezor kelasi oyda dasturiy ta’minot yangilanishini e’lon qildi. Ledger singari, Trezor ham namoyish etilgan hujumlarning xavfi pastligini ta’kidladi, chunki ular qurilmaga jismoniy kirishni talab qiladi. Kompaniya o’z foydalanuvchilariga hamyonlarini xavfsiz saqlagan holda ular xavfsiz ekanligiga ishontirdi. Trezor vakillarining so’zlariga ko’ra, Wallet.fail jamoasi ishlab chiqaruvchilarga oldindan xabar bermasdan konferensiyadagi zaifliklar tafsilotlarini oshkor qilish orqali mas’uliyatsiz harakat qilgan.

Share this post

Back to Maqolalar

Related Posts

06Mar

Google Chrome brauzerida nol kunlik muhim zaiflik aniqlandi.

Ushbu zaiflik barcha asosiy platformalar - Windows, macOS va Linux uchun Chrome versiyalariga ta'sir qiladi. Google Chrome brauzeridagi hujumchilar tomonidan... read more

22May

Microsoft Huawei bilan hamkorlikni yakunlashni rejalashtirmoqda.

Amerikalik kompaniya tegishli xatlarni, jumladan Rossiya Federatsiyasidagi vakolatxonalarga ham, turli mamlakatlarga yubordi. Microsoft Huawei bilan hamkorlik qilishni rad etgan amerikalik... read more

29Mar

Buyuk Britaniya Huawei kompaniyasini xavfli uskunalari uchun tanqid qildi.

HCSEC kompaniya o'z qurilmalari va texnologiyalarini takomillashtirmayapti, deb hisoblaydi. Buyuk Britaniya Xitoy uskunalarini ishlab chiqaruvchi Huawei kompaniyasining dasturiy ta'minotni ishlab... read more

10Iyun

Spamerlar orqa eshikni tarqatish uchun MS Office-dagi zaiflikdan faol foydalanmoqda.

Kampaniya birinchi navbatda Yevropa mamlakatlari aholisiga qaratilgan. Microsoft tajovuzkorlar tizimlarga zararli dasturlarni yuqtirish uchun mo'ljallangan elektron pochta xabarlarini tarqatayotgan davom... read more

27Fev

Noma’lum shaxslar 7,7 million dollarlik EOS kriptovalyutasini o’g’irlashdi.

Kiberjinoyatchilar 21 ta "blok ishlab chiqaruvchilar"dan birining beparvoligi tufayli mablag'larni boshqa hisoblarga o'tkazishga muvaffaq bo'lishdi. Xaker qora ro'yxat menejerlaridan birining... read more

12Iyul

Samsung-ning so’nggi yangilanishi Galaxy S10 va Galaxy S10 Plus-ni bloklaydi.

Muammoni hal qilishning yagona yo'li zavod sozlamalarini tiklashdir. Ba'zi Samsung Galaxy S10 va Galaxy S10 Plus egalari Reddit va... read more

13May

Voronejda bo’lib o’tgan «Code IB» konferensiyasida kiberxavfsizlik xarajatlarini optimallashtirish yo’llarini izlash

16 may kuni Moskva va Sankt-Peterburgdan kelgan axborot xavfsizligi mutaxassislari Marriott mehmonxonasida bo'lib o'tadigan Axborot xavfsizligi kodi konferensiyasida ma'ruza qiladilar. Bu... read more

Log4j xatosi: Kritik nol kun millionlab tizimlarni xavf ostiga qo'yadi
18Dek

Log4j xatosi: Kritik nol kun millionlab tizimlarni xavf ostiga qo’yadi

Log4Shell zaifligi tajovuzkorlarga har qanday zaif tizimda kodni bajarishga imkon beradi. Garchi xakerlar zaiflikdan doimiy ravishda foydalanishsa-da, tadqiqotchilar bu halokatli... read more

01Iyul

Oxirgi kümülatif yangilanish Windows 10 (1903) da ishlamay qolishi mumkin

KB4497935 ni o'rnatgandan so'ng, masofaviy kirish ulanish menejeri (RASMAN) ishlashni to'xtatadi. Microsoft KB4497935 kümülatif yangilanishi bilan bog'liq muammoni tasdiqladi.... read more

07Iyun

Roskomnadzor rahbari veb-saytlarni buzganlik uchun ko’p million rubl jarimalar to’g’risidagi qonun loyihasini e’lon qildi.

Qonun loyihasi Davlat Dumasiga bahorgi sessiyadayoq kiritilishi mumkin. Rossiya qonunchiligini buzgan onlayn-resurslar uchun jarimalar tizimini qayta ko'rib chiquvchi qonun loyihasi... read more