Французская компания Ledger помогла конкуренту устранить найденную уязвимость в аппаратных кошельках Trezor Safe 3. Команда Ledger обнаружила, что устройство уязвимодля атак на этапе поставок. Это означало, что злоумышленник мог потенциально модифицировать ПО кошелька до попадания к пользователю, ставя под угрозу средства.
Ledger Donjon – команда исследователей безопасности Ledger – выяснила, что в Trezor Safe 3 и Safe 5 используется двухчиповая архитектура, включающая защищённый элемент и микроконтроллер. Однако криптографические операции в данных моделях выполняются на микроконтроллере, что создает дополнительный риск. В случае компрометации программного обеспечения злоумышленник мог бы получить удалённый доступ к средствам пользователя.
Ветка твитов CTO Ledger Шарля Гийемета об уязвимости Trezor Safe 3 (@P3b7_)
Несмотря на наличие у Trezor механизмов защиты, специалисты Ledger Donjon смогли их обойти. После сообщения о проблеме компания Trezor оперативно внесла исправления, обеспечив дополнительную безопасность своих устройств. При этом представители Trezor заверили, что средства пользователейнаходятся в безопасности, а владельцам кошельков не требуется предпринимать никаких действий, если они приобрели устройство у официальных поставщиков.