Ledger Revela Flaw Crítica de Contraseña de Billetera

Ledger proporciona una vulnerabilidad de fuerza bruta de las tarjetas criptográficas Tangem. Las contraseñas débiles son susceptibles a un fácil hackeo sin una solución de parche. Es hora de mejorar la seguridad entre los usuarios.

Ledger ha descubierto un fallo desastrozo en las billeteras de criptomonedas con tarjetas Tangem. El error utiliza un ataque de desgarro para superar los retrasos de seguridad y forzar inicios de sesión a una tasa más alta. La realización evoca serios problemas respecto a la seguridad de las billeteras.

El equipo de Ledger Donjon ha revelado este problema tras un examen minucioso del canal seguro y la protección por contraseña de Tangem.

Aunque Tangem tiene un contador de retraso incorporado para dificultar la recuperación de contraseñas, ahora los atacantes pueden hacer aproximadamente 2.5 contraseñas por segundo. Esto es más de 100 veces más rápido que la tasa planificada de un intento cada 45 segundos.

La forma en que el ataque destruye la seguridad de la billetera.

Las tarjetas Tangem tienen un sistema de seguridad que pospone la reintroducción de la contraseña en caso de fallo. Un intento fallido creará un retraso de hasta 45 segundos.

Esto tiende a hacer que los ataques de fuerza bruta sean inviables, particularmente en contraseñas más largas. El ataque aprovecha un método de desgarro que corta el suministro de energía de la tarjeta en funciones críticas.

Esto hace que el contador de fallos de la tarjeta no se actualice de la manera adecuada. En consecuencia, los atacantes pueden eludir la demora e intentar contraseñas casi indefinidamente.

La investigación en la que Ledger llamó a la ventana de tiempo de un card para apagarse en un rango de tiempo estrecho de aproximadamente 6700 microsegundos evitó que ocurriera el retraso de seguridad.

Con la desconexión de energía, además de analizar la emisión electromagnética del chip en la tarjeta, los atacantes también pueden determinar si una conjetura de contraseña es correcta antes de que se retrase por la señal.

El cifrado de canal de seguridad proporcionado por Tangem, que se desarrolla para asegurar el intercambio de datos, añade a la debilidad

El valor de la clave utilizada en la encriptación se basa en la contraseña del usuario. Esto hace que romper la encriptación del canal sea tan difícil como romper la contraseña.

Ledger experimentó con equipos con un precio inferior a 5000 dólares, por lo que, como resultado, el ataque podría estar disponible para numerosos atacantes con acceso físico.

Lamentablemente, no hay un parche para corregir este defecto en la versión actual de las tarjetas Tangem.

Riesgos Serios para Usuarios de Contraseñas Débiles

Source ledger.com

Las contraseñas comunes o débiles son muy susceptibles a tal ataque. Para ilustrar, un PIN de 4 dígitos se puede hackear en poco menos de una hora, en comparación con cinco días sin la intrusión.

Las contraseñas de seis u ocho caracteres también son significativamente más débiles, lo cual sigue siendo más seguro.

Tangem recomienda que sus usuarios utilicen contraseñas que tengan al menos ocho caracteres de longitud, conteniendo letras, números y símbolos.

Es importante porque las contraseñas simples o basadas en diccionario pueden ser descifradas en días en lugar de años.

En su informe, que fue debidamente divulgado a Tangem, Ledger aconsejó la implementación de una política de contraseñas utilizando contraseñas de usuario fuertes, lo cual aconsejaron que los usuarios debían hacer. Los usuarios con contraseñas débiles necesitan actualizarse para minimizar el riesgo. Tangem ha subestimado el riesgo al decir que el problema no es vulnerable. Sin embargo, el análisis técnico que proporciona Ledger destaca el hecho de que hay violaciones en la vida real, que pueden ser dañinas.