Ledger раскрывает критическую уязвимость пароля Кошелька

Ledger предоставляет уязвимость грубой силы для криптокарт Tangem. Слабые пароли подвержены легкому взлому без исправления патча. Пора усилить безопасность среди пользователей.

Ledger обнаружил катастрофический недостаток в криптовалютных кошельках с картами Tangem. Ошибка использует атаку разрыва, чтобы преодолеть задержки безопасности и увеличить скорость подбора паролей. Это осознание вызывает серьезные проблемы, касающиеся безопасности кошельков.

Команда Ledger Donjon выявила эту проблему после тщательного изучения защищенного канала и защиты паролем Tangem

Хотя у Tangem есть встроенный счетчик задержки, чтобы усложнить получение паролей, теперь злоумышленники могут делать около 2,5 паролей в секунду. Это более чем в 100 раз быстрее запланированной скорости в один предположение за 45 секунд.

Способ, которым Атака Разрушает Безопасность Кошелька.

Карты Tangem имеют систему безопасности, которая откладывает повторный ввод пароля в случае неудачи. Потерянная попытка создаст задержку до 45 секунд.

Это делает атаки методом перебора нецелесообразными, особенно на более длинные пароли. Атака использует метод разрыва, который отключает питание карты на критически важных функциях.

Это приводит к тому, что счетчик ошибок карты не обновляется должным образом. В результате злоумышленники могут обойти задержку и пытаться вводить пароли практически бесконечно.

Исследование, в котором Ledger назвал временной интервал отключения карты узким диапазоном около 6700 микросекунд, предотвратило возникновение задержки безопасности.

При отключении питания, помимо анализа электромагнитного излучения чипа в карте, злоумышленники также могут определить, является ли попытка угадать пароль правильной, прежде чем они задержатся из-за сигнала.

Шифрование канала безопасности, предоставляемое Tangem, разработанное для обеспечения безопасности обмена данными, добавляет к уязвимости

Значение ключа, используемого для шифрования, основано на пароле пользователя. Это делает взлом шифрования канала таким же трудным, как и взлом пароля.

Ledger экспериментировал с оборудованием, ценой ниже 5000 долларов, в результате чего атака могла быть доступна многочисленным злоумышленникам с физическим доступом.

К сожалению, в текущей версии карт Tangem нет патча для исправления этого дефекта.

Серьезные риски для пользователей со слабыми паролями

Источник ledger.com

Обычные или слабые пароли очень подвержены таким атакам. Для иллюстрации, 4-значный ПИН-код можно взломать всего за час, в то время как без вторжения это займет пять дней.

Пароли из шести или восьми символов также значительно слабее, что все еще более безопасно.

Tangem рекомендует своим пользователям использовать пароли длиной не менее восьми символов, содержащие буквы, цифры и символы

Это важно, потому что простые или основанные на словаре пароли могут быть сломаны за дни, а не за годы.

В своем отчете, который был должным образом раскрыт компании Tangem, Ledger рекомендовал внедрение политики паролей, используя надежные пароли пользователей, что они рекомендовали сделать пользователям. Пользователи с слабыми паролями должны обновить свои пароли, чтобы минимизировать риск. Tangem занижает риск, утверждая, что проблема не уязвима. Однако технический анализ, предоставленный Ledger, подчеркивает тот факт, что существуют реальные нарушения, которые могут быть разрушительными.