Kraken: пристрій за 75 дол. США забезпечить вам Крипто апаратний гаманець KeepKey

Лабораторія безпеки Kraken заявила, що Крипто гаманець KeepKey робить недостатньо для захисту клієнтів від фізичних атак, заявивши, що він зміг потрапити в систему за допомогою пристрою за 75 доларів.

«Все, що потрібно, — це фізичний доступ до гаманця протягом приблизно 15 хвилин», — заявили в компанії публікація в блозі у вівторок.

У Kraken Security Lab заявили, що KeepKey вже знають про подібні фізичні атаки, але, здається, більше зосереджуються на захисті ключів користувачів від віддалених атак, посилаючись на заява від батьківського Shapeshift KeepKey 13 червня.

Ці атаки можуть витягти початкові коди, які можуть допомогти користувачам відновити та створити резервну копію своїх гаманців із пристрою, що перешкоджає напрузі, вартістю приблизно 75 доларів.

Однак Майкл Перклін, керівник інформаційної безпеки Shapeshift, сказав, що заява Kraken Security вводить в оману, згідно із заявою, отриманою CoinDesk. Крипто придбаний апаратний гаманець KeepKey за нерозголошену суму в серпні 2017 року для розробки своєї Технології та безпеки для власників Крипто .

«Ця атака потребує не тільки фізичного володіння пристроєм, але й значної підготовки та досвіду, а також спеціального обладнання», — сказав Перклін.

«Вартість можлива лише в тому випадку, якщо людина мала надзвичайно глибоке розуміння того, що їй потрібно», — додав він. «Звичайна людина не мала б освіти щодо дизайну апаратного забезпечення чи інформатики, щоб вибрати деталі за 75 доларів і успішно зібрати інструмент для такого типу атак».

Kraken Security Lab зазначила у своєму блозі, що, хоча від фізичних атак важко захиститися, вона виявила, що зосередженість Keepkey на віддалених атаках «потенційно не відповідає бренду [його] продукту».

Перклін відповів, що KeepKey вжила заходів для захисту своїх користувачів від потенційних фізичних атак до того, як Kraken повідомив про це.

«Ми рекомендуємо нашим користувачам використовувати парольні фрази BIP39, які додають додатковий рівень безпеки», — сказав Перклін. «Процес відносно простий, і ми надали покрокові інструкції щодо налаштування BIP39 у заяві від 13 червня».

ONE з причин, чому такі фізичні атаки важко запобігти, полягає в тому, що KeepKey доводиться переробляти своє обладнання. Зокрема, Kraken Security Lab стверджує, що гаманець потребує зміни мікроконтролера через «внутрішні недоліки», якими можуть скористатися хакери.

«Важливо розуміти, що якщо ви фізично втратите свій KeepKey, ця вразливість може бути використана для доступу до вашої Крипто», — йдеться в дописі в блозі.

"Це дуже схоже на аналогію з дверним замком. Ви можете міняти замки на своїх дверях скільки завгодно часто, але хтось із достатньою кількістю часу та досвіду завжди може зламати замок", – відповів Перклін.

«Переробка KeepKey або використання іншого мікроконтролера може уповільнити зловмисника, якщо він має фізичний пристрій, але це не зупинить його, якщо він рішучий, досвідчений і має достатньо часу, щоб проникнути», – додав він.

Kraken Security Lab повідомила, що розкрила KeepKey повні подробиці цієї загрози 11 вересня, і зараз оприлюднює інформацію, щоб Крипто спільнота могла захистити себе. Shapeshift підтвердив, що отримав інформацію та попросив своїх користувачів використовувати парольну фразу BIP39 до цього часу.