Ledger Revela Falha Crítica na Senha da Carteira

O Ledger apresenta uma vulnerabilidade de força bruta dos cartões de criptomoeda Tangem. Senhas fracas estão sujeitas a hacking fácil sem uma correção de patch. É hora de melhorar a segurança entre os usuários.

A Ledger descobriu uma falha desastrosa nas carteiras de criptomoedas com cartões Tangem. O bug utiliza um ataque de rasgamento para contornar os atrasos de segurança e realizar logins por força bruta a uma taxa mais elevada. A realização evoca sérios problemas relacionados à segurança das carteiras.

A equipe do Ledger Donjon revelou este problema após um exame elaborado do canal seguro e da proteção por senha do Tangem

Embora a Tangem tenha um contador de atraso integrado para dificultar a recuperação de senhas, agora os atacantes conseguem fazer cerca de 2,5 senhas por segundo. Isso é mais de 100 vezes mais rápido do que a taxa planejada de uma tentativa a cada 45 segundos.

A forma como o Ataque Destroi a Segurança da Carteira.

Os cartões Tangem têm um sistema de segurança que adia a reinserção da password em caso de falha. Uma tentativa perdida criará um atraso de até 45 segundos.

Isto tende a tornar os ataques de força bruta inviáveis, particularmente em senhas mais longas. O ataque tira proveito de um método de rasgamento que corta o fornecimento de energia do cartão em funções críticas.

Isto faz com que o contador de falhas do cartão não atualize da maneira adequada. Consequentemente, os atacantes conseguem contornar o atraso e tentar senhas quase indefinidamente.

A pesquisa na qual a Ledger chamou a janela de tempo de um cartão para desligar em uma faixa de tempo estreita de cerca de 6700 microssegundos impediu que o atraso de segurança ocorresse.

Com a desconexão de energia, além de analisar a emissão eletromagnética do chip no cartão, os atacantes também podem determinar se uma tentativa de senha está correta antes de atrasar pelo sinal.

O canal de segurança de criptografia fornecido pela Tangem, que foi desenvolvido para proteger a troca de dados, acrescenta à fraqueza

O valor da chave usada na encriptação é baseado na senha do utilizador. Isso torna a quebra da encriptação do canal tão difícil quanto quebrar a senha.

A Ledger experimentou equipamentos com preços abaixo de 5000 dólares, de modo que, como resultado, o ataque poderia estar disponível para numerosos atacantes com acesso físico.

Lamentavelmente, não há um patch para corrigir este defeito na versão atual dos cartões Tangem.

Riscos Sérios para Usuários de Senhas Fracas

Source ledger.com

Senhas comuns ou fracas são altamente suscetíveis a esse tipo de ataque. Para ilustrar, um PIN de 4 dígitos pode ser hackeado em pouco menos de uma hora, em comparação com cinco dias sem a intrusão.

Senhas de seis ou oito caracteres também são significativamente mais fracas, o que ainda é mais seguro.

A Tangem recomenda que os seus utilizadores utilizem senhas que tenham pelo menos oito caracteres de comprimento, contendo letras, números e símbolos.

É importante porque senhas simples ou baseadas em dicionário podem ser quebradas em dias em vez de anos.

No seu relatório, que foi devidamente divulgado à Tangem, a Ledger aconselhou a implementação de uma política de senhas utilizando senhas de usuário fortes, o que aconselharam que os usuários fizessem. Os usuários com senhas fracas precisam atualizar para minimizar o risco. A Tangem subestimou o risco ao afirmar que o problema não é vulnerável. A análise técnica que a Ledger fornece, no entanto, destaca o fato de que existem violações na vida real, que podem ser prejudiciais.