Cryptocurrency سخت افزار کیف پول می توانید هک کنید, هم

تحقیقات جدید نشان می دهد آسیب پذیری در محبوب سرد گزینه های ذخیره سازی است که خود را نشان داد پین.

آیا شما فکر می کنم cryptocurrency کلاهبرداری است یا نجات کسانی که سکه های دیجیتال می توانید به فروشگاه دنیای واقعی ارزش. امن ترین محل برای نگه داشتن آنها را در آنچه شناخته شده به عنوان “سخت افزار کیف پول” یک دستگاه مانند یک درایو USB است که فروشگاه خود را به ارز و کلید خصوصی به صورت محلی بدون اتصال به اینترنت. اما “امن ترین” معنا “کامل” است که تحقیقات جدید به دو محبوب سخت افزار و کیف و تقویت همه به خوبی.

محققان از معین—یک شرکت است که باعث می شود سخت افزار کیف پول خود را—نشان داده اند که حملات علیه محصولات از تولید کنندگان cisco security و Shapeshift است که می تواند اجازه داده اند یک مهاجم به شکل پین محافظت می کند که کسانی که در کیف پول. آسیب پذیری برطرف شده و هر دو هک های مورد نیاز دسترسی فیزیکی به دستگاه های که به حداقل می رساند خطر برای شروع با. اما لجر استدلال می کند که آن را هنوز هم ارزش نگه داشتن سخت افزار کیف پول به بالاترین استانداردهای فقط به عنوان شما می گنجه امن است.

“شما می توانید میلیونها یا حتی میلیاردها اگر شما می خواهید در یک سخت افزار کیف پول” می گوید: چارلز Guillemet این افسر ارشد فناوری معین که او نیز اجرا می شود این شرکت در سیاه چال تیم امنیتی. “این قطعا یک چیز بزرگ اگر یک مهاجم دارای دسترسی فیزیکی به یک سخت افزار کیف پول و کیف پول امن نیست. برخی از cryptocurrency مبادلات و حتی با استفاده از سخت افزار کیف پول برای ذخیره سازی سرد” اصطلاح دیگری برای سیستم های که حفظ منابع نیست.

Shapeshift رفع یک آسیب پذیری در آن KeepKey کیف پول با یک به روز رسانی سیستم عامل در فوریه. اگر شما در حال حاضر نمی اتصال خود را KeepKey کیف پول به برنامه دسکتاپ برای دانلود به روز رسانی بر روی دستگاه شما. یک سخت افزار عیب در cisco security را Coldcard Mk2 کیف پول همچنان ادامه دارد اما ثابت شده است در این شرکت در زمان Coldcard مدل Mk3 که شروع به حمل و نقل در ماه اکتبر. محققان در حال حاضر حمله خود را در Mk2 در کنفرانس امنیتی SSTIC در ماه ژوئن.

حمله محققان توسعه یافته در برابر KeepKey کیف پول و زمان برای آماده سازی اما با برنامه ریزی به اندازه کافی یک هکر می تواند به سرعت برداشت یک هدف را پین در این زمینه است. حمله بستگی اطلاعات که KeepKey کیف پول سهوا نشان داد حتی زمانی که آنها قفل شده بودند.

به طور منظم تراشه های حافظه مانند کسانی که مورد استفاده در سخت افزار کیف پول را خاموش مختلف ولتاژ خروجی در زمان های مختلف. در برخی از موقعیت ها محققان می تواند به ایجاد یک لینک بین این مصرف برق نوسانات و اطلاعات تراشه پردازش است که آن را نمایش می دهد این تغییرات است. فیزیکی چنین می گوید شناخته شده به عنوان “طرف کانال” از آنجا که آنها نشت اطلاعات از طریق غیر مستقیم فیزیکی تجلی و نه از طریق هر گونه دسترسی مستقیم به داده ها. در بررسی KeepKey تراشه های حافظه که در فروشگاه کاربر احراز هویت پین سیاه چال و محققان دریافتند که آنها می تواند نظارت بر ولتاژ خروجی تغییر به عنوان تراشه دریافت پین های ورودی برای تعیین PIN خود را.

این به این معنا نیست که محققان جادویی می تواند خواندن پین از یک کیف پول تراشه ولتاژ. آنها برای اولین بار نیاز به استفاده از املاک KeepKey تست دستگاه به هزاران گیری از پین پردازنده ولتاژ خروجی برای هر یک ارزش شناخته پین. با جمع آوری یک نوع رسیور ولتاژ خروجی برای هر مرحله از پین بازیابی یک مهاجم می تواند بعد از شناسایی پین از یک هدف کیف پول.

“در مورد حمله دستگاه ما مقایسه اندازه گیری به ما دیکشنری برای تعیین بهترین بازی که محتمل ترین ارزش پین درست” Guillemet می گوید.

ShapeShift وصله آسیب پذیری در به روز رسانی سیستم عامل است که افزایش امنیت پین تایید عملکرد. ثابت می سازد آن را سخت تر به توسعه قابل اعتماد فروشگاه از مصرف برق خروجی که نقشه به پین ارزش. حتی اگر یک کیف پول نشده دریافت به روز رسانی هر چند KeepKey صاحبان هنوز هم می توانید اضافه کردن یک کلمه عبور—ترجیحا بیش از 37 کاراکتر—را به کیف پول خود را که به عنوان یک لایه دوم از احراز هویت.

“واقعیت این است که هیچ راهی برای جلوگیری از یک بسیار پیچیده مهاجم فیزیکی با در اختیار داشتن دستگاه و مقدار زیادی از زمان و تکنولوژی و منابع به طور کامل از ‘pwning که دستگاه در نهایت” ShapeShift گفت: در ماه ژوئن سال 2019 در بیانیه ای در پاسخ به های مختلف سیاه چال یافته. “ShapeShift توصیه می کند که شما امن دستگاه شما را با همان احتیاط شما می توانید با سرمایه گذاری های دیگر و یا اشیاء با ارزش. محافظت از خود را KeepKey مانند آن می تواند به سرقت رفته فردا.”

دیگر یافته های جدید از سیاه چال و تمرکز بر روی Coldcard Mk2 کیف پول. این حمله می تواند دشوار برای یک هکر برای انجام به دلیل Coldcard با استفاده از ویژه امن حافظه است که بلوک نوع side-channel حمله محققان راه اندازی در برابر KeepKey کیف پول و شدت محدودیت پین حدس زدن. Coldcard manufacturer cisco security outsources تراشه از میکروکنترلر شرکت Microchip. اما محققان هنوز هم در بر داشت که آنها می تواند استفاده از آنچه به نام “گسل حمله تزریق”—یک هک که باعث استراتژیک قطعی تحریک ناخواسته, بهره برداری کامپیوتری رفتار—به زور تراشه به یک نا امنی در حالت اشکال زدایی. در این حالت تراشه و پین حدس محدود نیست و در اثر معنی یک مهاجم می تواند “نیروی بی رحم” پین با تلاش هر ترکیب ممکن تا کیف پول آنلاک.

به ماشه ویژه قطعی محققان با استفاده از یک لباس عجیب و غریب حمله هر چند که غیر قابل تصور برای یک انگیزه و به خوبی تامین كند ، گسل تزریق می آید از دقت باز فیزیکی مورد Coldcard کیف پول افشای امن تراشه جسمی آسیاب کردن آن سیلیکون بدون آسیب رساندن به آن و درخشان بالا طراحی شده و هدفمند لیزر بر روی تراشه دقیقا در محل مناسب با زمان بندی دقیق. لیزر گسل تزریق سکوهای هزینه حدود $200,000 و نیاز به مهارت های خاص به کار گیرند. آنها به طور معمول استفاده می شود برای امنیت و تست عملکرد در کارت های هوشمند مانند کسانی که در کارت اعتباری خود و یا پاسپورت.

“این شگفت انگیز, گزارش و بسیار هیجان انگیز برای دیدن شدید سطح منابع قرار داده و به تحقیق ما محصولات” cisco security در بیانیه ای گفت: در مورد تحقیق. “اولین چیزهایی که اول هیچ یک از تحقیقات خود را بر امنیت Mk3 Coldcard است که محصول ما به فروش امروز (و در سال گذشته). تغییرات بنیادی ساخته شد بین علامت 2 و 3.”

ریزتراشه مشخص است وضعیت امن عنصر مورد استفاده در Coldcard Mk2 به عنوان “توصیه نمی شود برای طرح های جدید است.” سیاه چال و محققان اشاره می کنند هر چند که آسیب پذیر تراشه گنجانیده شده بود در دستگاه های جاسازی شده فراتر از cryptocurrency کیف پول.

مقدار زیادی از زمان و تلاش رفت و به تولید این پژوهش است. با توجه به این که لجر یک رقیب از KeepKey و Coldcard پتانسیل تضاد منافع در کار آشکار است. و سیاه چال و تیم دارای سابقه پیدا کردن و افشای آسیب پذیری در کیف پول از آن برجسته رقبا. اما محققان می گویند که آنها صرف اکثریت از وقت خود را در حمله به دفتر کیف پول و زمانی که آنها پیدا کردن آسیب پذیری قابل توجه در محصول خود را به آنها پچ آنها و سپس ارسال تجزیه و تحلیل دقیق از اشکالات. این گروه همچنین منبع باز و از آن طرف کانال تجزیه و تحلیل اندازه گیری و خطا ابزار تزریق برای دیگر محققان به استفاده از.

سیاه چال و محققان تاکید می کند که مهم ترین چیز شما می توانید انجام دهید برای کامپیوتر و سخت افزار کیف پول است که برای حفظ آن از لحاظ فیزیکی امن است. اگر شما در حال ذخیره سازی چند هزار دلار ارزش cryptocurrency شما به احتمال زیاد نمی خواهد که نخبگان جنایی هکرها و یا ملت-حمایت جاسوسان شکستن به خانه خود را به شاتل خود را در کیف پول خود را به دولت از-هنر لیزر آزمایشگاه. اما آن را به ارزش نگه داشتن در ذهن است که حتی زمانی که شما عمدا اولویت بندی امنیتی توسط امید بستن برای چیزی شبیه به یک سخت افزار کیف پول, آن را هنوز هم می تواند نقاط ضعف.


بزرگ تر سیمی داستان
  • اعترافات مارکوس Hutchins هکر که ذخیره شده اینترنت
  • که اختراع چرخ ؟ و چگونه آنها آن را انجام دهد ؟
  • 27 روز در توکیو بای: آنچه اتفاق افتاده است در الماس شاهزاده
  • چرا کشاورزان آزادسازی شیر حتی به عنوان نفر گرسنه
  • نکات و ابزار برای برش مو در خانه
  • 👁 AI آشکار بالقوه Covid-19 درمان است. به علاوه: دریافت آخرین اخبار AI
  • 🏃🏽♀️ می خواهید بهترین ابزار برای دریافت سالم است ؟ ما را بررسی کنید دنده تیم میدارد برای تناسب اندام بهترین انتقالها دنده در حال اجرا (از جمله کفش و جوراب) و بهترین هدفون

tinyurlis.gdv.gdv.htclck.ruulvis.nettny.im

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>