Publi

/ latest / 2018/12 / poof-goes-your-crypto-new-demostracion-shows-how-hardware-carteras-puede-ser-roto-en /

Publicidad

“Poof Goes Your Crypto”: nueva demostración muestra cómo las billeteras de hardware pueden dividirse

poof-goes-your-crypto-new-demostración-shows-cómo-hardware-carteras-pueden-romperse-en

Las billeteras de hardware de criptomonedas como Trezor y Ledger no son completamente seguras y tienen numerosas vulnerabilidades, como lo hicieron tres expertos en hardware (Thomas Roth, Dmitry Nedospasov y Josh Datko) durante una demostración de una hora en el 35º Congreso Anual de Comunicación del Caos (35C3) en Leipzig. Alemania.

Los tres irrumpieron en los dispositivos de almacenamiento de cifrado comercial más populares utilizando métodos de hardware y software. La mayoría de los métodos empleados durante la demostración requirieron la posesión física de los dispositivos. Después de obtener la posesión de un dispositivo, la posibilidad de instalar software corrupto y comprometido es muy real y, como demostró el trío, ni siquiera es muy difícil.

Por este motivo, uno de los temas centrales de la conversación fue la posibilidad de los llamados ataques a la cadena de suministro, cuando un dispositivo se ve comprometido después de haber sido enviado desde la fábrica pero antes de que un cliente lo compre y use. Josh Datko demostró la facilidad de falsificar el empaquetado supuestamente a prueba de falsificaciones de la cartera de Trezor usando solo un secador de pelo y algunas manos firmes.

Las carteras de hardware son vulnerables en las manos equivocadas

Demostrando lo que puede suceder después de que se rompió el empaque, Datko construyó un dispositivo físico muy simple usando solo $ 3.00 en partes de consumo, para ser implantado en carteras, usando el Ledger Nano S como un caso de prueba. El dispositivo de implante ni siquiera necesita penetrar en ningún firmware o sistema central, simplemente omitiéndolos mediante la emulación de un botón físico en el Nano utilizando un disparador de radio.

Otra violación exitosa permitió la instalación sobre el software central en el Nano mediante la explotación de la arquitectura informática del dispositivo. Thomas Roth construyó el exploit e instaló el clásico juego de video Snake en lugar del software del fabricante para mostrar qué tan vulnerable es.

(fuente: Youtube.com)

Roth también encontró una forma de ingresar al dispositivo Ledger Blue, al usar la larga "traza" (conexión) entre los dos chips de procesamiento clave como una antena para recoger las contraseñas ingresadas en la pantalla táctil del dispositivo, con más del 90% de precisión. Pero el método se limitaba a un "par de metros" de recepción.

El resultado de la conversación fue que, en su mayor parte, los atacantes deben tener posesión de dispositivos. Esto quizás hace que los ataques de la cadena de suministro sean más preocupantes para los usuarios, y los compradores deben tener mucho cuidado con el lugar donde compran sus billeteras de hardware. Los ataques de vendedores de terceros, que han vendido dispositivos comprometidos, ya se han informado a principios de este año y les han costado caro a algunos clientes.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.