Kraken diz que é possivel hackear a Trezor com um dispositivo que custaria apenas U$ 75

A Kraken Security Labs divulgou ontem uma falha nas principais carteiras de hardware da Trezor, a Trezor One e a Trezor Model T, que permitem que os invasores roubem os dados armazenados nos dispositivos.

O que é pior, os pesquisadores de segurança cibernética afirmam que o roubo físico de dados criptografados pode ocorrer dentro de 15 minutos após o acesso físico à carteira de criptomoedas. Eles acrescentaram que o ataque planejado exigia algum conhecimento e um equipamento especifico.

Entretanto, esse equipamento é de baixo custo, segundo os especialistas de segurança da Kraken. Os aparelhos poderiam ser adquiridos por cerca de U$ 75 dólares (R$ 320), podendo ser produzidos facilmente em massa.

Embora essa falha possa ser explorada apenas se houver acesso físico ao dispositivo, a Kraken observou que ela só pode ser corrigida através da revisão do design dos produtos da Trezor. Isso envolve a substituição de componentes principais, como os microcontroladores usados nas carteiras da Trezor, para incorporar peças mais seguras, em oposição ao chip de uso geral atualmente usado.

“Esses chips não foram projetados para armazenar segredos e nossa pesquisa enfatiza que fornecedores como Trezor e KeepKey não devem confiar apenas neles para proteger suas criptomoedas”, explica o blog.

O braço de pesquisa da Kraken descobriu que o PIN de 1 a 9 dígitos não protege os ativos dos usuários contra um invasor com acesso físico, pois pode ser forçado a desbloquear o dispositivo.

A Kraken também aconselha os usuários a ativar sua senha BIP39 (frase secreta) com o Trezor Client, uma abordagem adicional para proteger a carteira. Embora essa frase secreta seja um pouco ruim para uso na prática, ela felizmente não fica guardada no dispositivo, portanto, “é uma proteção que impede esse tipo de ataque”.

Os pesquisadores da Kraken descobriram a vulnerabilidade em outubro, mas informaram a equipe da Trezor sobre suas descobertas antes de divulgar os detalhes ao público hoje. Eles acrescentaram que esse ataque é muito parecido com os ataques identificados na carteira KeepKey, que também permitem que os hackers ignorem a proteção implementada pelo fabricante e extraiam o conteúdo da memória flash do microcontrolador.

Trezor minimiza os riscos

Algumas horas depois que a Kraken relatou a vulnerabilidade, a resposta da Trezor foi apontar que os usuários deveriam garantir que outras pessoas não tenham acesso à carteira de hardware para manter seus fundos protegidos contra ataques.

“É importante observar que esse ataque só é viável se o recurso “Frase secreta” não estiver ativo. Uma senha forte mitiga completamente as possibilidades de um ataque bem-sucedido ”, explicaram.

A equipe da Trezor acrescentou que está ciente dessa falha no microchip STM32, que permite que o invasor com conhecimento especializado em hardware obtenha a senha de recuperação criptografada do dispositivo.

A Trezor tentou subestimar o tamanho do problema dizendo que a principal ameaça e preocupação para os usuários de Bitcoin eram ataques on-line e remotos, acrescentando que qualquer hardware é hackeavel.

“Embora apenas uma pequena parte dos usuários de criptomoeda esteja preocupada com ataques físicos (<6%), tratamos as vulnerabilidades físicas com a mesma urgência que qualquer vulnerabilidade remota”, concluiu a Trezor.

• Veja também: O XRP é uma fraude? Para o ex-lutador do UFC Ben Askren é

Fonte: financemagnates