Kraken: Dispositivo de US$ 75 levará você à carteira de hardware de Cripto KeepKey

O Kraken Security Lab disse que a carteira de hardware de Cripto KeepKey não está fazendo o suficiente para proteger os clientes de ataques físicos, dizendo que conseguiu entrar no sistema usando um dispositivo de US$ 75.

“Tudo o que é necessário é acesso físico à carteira por cerca de 15 minutos”, disse a empresa em umpostagem de blogna terça-feira.

O Kraken Security Lab disse que o KeepKey já está ciente de ataques físicos semelhantes, mas parece estar se concentrando mais em proteger as chaves dos usuários de ataques remotos, citando umdeclaraçãoda Shapeshift, empresa-mãe da KeepKey, em 13 de junho.

Os ataques podem extrair sementes que podem ajudar os usuários a restaurar e fazer backup de suas carteiras de um dispositivo com falha de voltagem que custa aproximadamente US$ 75.

No entanto, Michael Perklin, diretor de segurança da informação da Shapeshift, disse que a declaração da Kraken Security é enganosa, de acordo com uma declaração recebida pela CoinDesk. A troca de Cripto adquirido startup de carteira de hardware KeepKey por um valor não revelado em agosto de 2017 para desenvolver sua Tecnologia e segurança para seus detentores de Cripto .

“Este ataque não requer apenas a posse física do dispositivo, mas também exigiria preparação e perícia significativas, bem como equipamento especializado”, disse Perklin.

“O custo só é possível se a pessoa tiver um entendimento extremamente sofisticado do que é necessário”, ele acrescentou. “A pessoa média não teria educação sobre design de hardware ou ciência da computação para escolher peças por US$ 75 e montar com sucesso uma ferramenta para usar neste tipo de ataque.”

O Kraken Security Lab disse em sua postagem de blog que, embora seja difícil se defender de ataques físicos, ele descobriu que o foco da Keepkey em ataques remotos “potencialmente fora de linha com a marca de [seu] produto”.

Perklin respondeu que a KeepKey tomou medidas para proteger seus usuários de potenciais ataques físicos antes que a Kraken a notificasse.

“Recomendamos que nossos usuários usem senhas BIP39 que adicionam uma camada extra de segurança”, disse Perklin. “O processo é relativamente fácil e fornecemos instruções passo a passo sobre como configurar o BIP39 na declaração de 13 de junho.”

Uma das razões pelas quais tais ataques físicos são difíceis de prevenir é que a KeepKey precisa redesenhar seu hardware. Em particular, o Kraken Security Lab alega que a carteira precisa mudar o microcontrolador por causa de “falhas inerentes” que podem ser usadas por hackers.

“É importante entender que se você perder fisicamente sua KeepKey, essa vulnerabilidade pode ser usada para acessar sua Cripto”, de acordo com a postagem do blog.

“É muito parecido com uma analogia de fechadura de porta. Você pode trocar as fechaduras da sua porta sempre que quiser, mas alguém com tempo e experiência suficientes sempre pode arrombar a fechadura”, respondeu Perklin.

“Redesenhar o KeepKey, ou usar um microcontrolador diferente, pode desacelerar um invasor se ele tiver o dispositivo físico, mas não o impedirá se ele for determinado, habilidoso e tiver tempo suficiente para invadir”, acrescentou.

O Kraken Security Lab disse que divulgou todos os detalhes dessa ameaça de ataque à KeepKey em 11 de setembro e está se tornando público agora para que a comunidade Cripto possa se proteger. O Shapeshift confirmou que recebeu as informações e pediu que seus usuários usassem a senha BIP39 antes desse momento.