Швейцарская компания ShiftCrypto, производящая аппаратный кошелек BitBox, нашла уязвимость в аппаратных кошельках Trezor и KeepKey.
Разработчик ShiftCrypto по имени Марко уведомил команды Trezor и KeepKey о находке. Компания Trezor сразу выпустила патч для своих кошельков Model One и Model T. А вот команда кошелька KeepKey (который является копией Trezor и поэтому имеет почти идентичный код) не сделала исправлений. По словам ShiftCrypto, компания ответила, что у нее есть «вопросы с более высоким приоритетом».
Уязвимость касается дополнительной парольной фразы, которую пользователи Trezor и KeepKey могут установить для разблокировки своего устройства вместо обычного PIN-кода. Оба кошелька для управления учетными записями требуют USB-подключение к компьютеру или мобильному устройству. При подключении кошелька к устройству, пользователь вводит кодовую фразу или PIN-код.
Проблема в том, что ни Trezor, ни KeepKey не предлагают проверить введенную парольную фразу. Для проверки потребуется отобразить кодовую фразу на экране кошелька, чтобы пользователь мог убедиться, что она соответствует тому, что он набрал на компьютере. Без этой проверки злоумышленник мог бы импортировть новую кодовую фразу в кошелек и пользователь этого даже не заметил бы.
Если злоумышленник использовал бы эту уязвимость, то после ввода кодовой фразы, пользователь, как обычно, откроет интерфейс аппаратного кошелька на компьютере. Однако каждый сгенерированный адрес будет находиться уже под контролем новой парольной фразы, установленной хакером, поэтому владелец кошелька не сможет переводить средства. Злоумышленник тоже не будет иметь доступа к этим адресам, но он может удерживать их с целью получения выкупа. Такая атака охватывает все криптовалюты, поддерживаемые устройством.
Поскольку в Trezor уязвимости больше нет, то только пользователям KeepKey следует проявлять внимательность.