Kraken: un dispositivo da 75 $ ti porterà nel portafoglio hardware Cripto KeepKey

Kraken Security Lab ha affermato che il portafoglio hardware Cripto KeepKey non sta facendo abbastanza per proteggere i clienti dagli attacchi fisici, affermando che è riuscito a entrare nel sistema utilizzando un dispositivo da 75 dollari.

"Tutto ciò che è richiesto è l'accesso fisico al portafoglio per circa 15 minuti", ha affermato l'azienda in unpost del blog il martedì.

Kraken Security Lab ha affermato che KeepKey è già a conoscenza di attacchi fisici simili, ma sembra concentrarsi maggiormente sulla protezione delle chiavi degli utenti da attacchi remoti, citando undichiarazionedal genitore di KeepKey, Shapeshift, il 13 giugno.

Gli attacchi possono estrarre semi che potrebbero aiutare gli utenti a ripristinare ed effettuare il backup dei loro portafogli da un dispositivo di glitching di tensione che costa circa $ 75.

Tuttavia, Michael Perklin, responsabile della sicurezza informatica di Shapeshift, ha affermato che la dichiarazione di Kraken Security è fuorviante, secondo una dichiarazione ricevuta da CoinDesk. L'exchange Cripto acquisito la startup di portafogli hardware KeepKey per una cifra non rivelata nell'agosto 2017, per sviluppare la sua Tecnologie e la sicurezza per i suoi detentori Cripto .

"Non solo questo attacco richiede il possesso fisico del dispositivo, ma richiederebbe anche una preparazione e una competenza significative, nonché attrezzature specializzate", ha affermato Perklin.

"Il costo è possibile solo se la persona ha una comprensione estremamente sofisticata di ciò di cui ha bisogno", ha aggiunto. "La persona media non avrebbe l'istruzione sulla progettazione hardware o l'informatica per andare a scegliere i componenti per 75 $ e assemblare con successo uno strumento da usare per questo tipo di attacco".

Kraken Security Lab ha affermato nel suo post sul blog che, sebbene gli attacchi fisici siano difficili da difendere, ha scoperto che l'attenzione di Keepkey sugli attacchi remoti "potenzialmente fuori linea con il marchio del [suo] prodotto".

Perklin ha risposto che KeepKey ha preso misure per proteggere i suoi utenti da potenziali attacchi fisici prima che Kraken lo avvisasse.

"Consigliamo ai nostri utenti di utilizzare le passphrase BIP39 che aggiungono un ulteriore livello di sicurezza", ha affermato Perklin. "Il processo è relativamente semplice e abbiamo fornito istruzioni dettagliate su come impostare BIP39 nella dichiarazione del 13 giugno".

ONE dei motivi per cui tali attacchi fisici sono difficili da prevenire è che KeepKey deve riprogettare il suo hardware. In particolare, sostiene Kraken Security Lab, il portafoglio deve cambiare il microcontrollore a causa di "difetti intrinseci" che potrebbero essere sfruttati dagli hacker.

"È importante capire che se perdi fisicamente la tua KeepKey, questa vulnerabilità potrebbe essere utilizzata per accedere alle tue Cripto", secondo il post del blog.

"È molto simile all'analogia della serratura della porta. Puoi cambiare le serrature della tua porta tutte le volte che vuoi, ma qualcuno con abbastanza tempo ed esperienza può sempre forzare la serratura", ha risposto Perklin.

"Riprogettare KeepKey o utilizzare un microcontrollore diverso potrebbe rallentare un aggressore se ha il dispositivo fisico, ma non lo fermerà se è determinato, abile e ha abbastanza tempo per entrare", ha aggiunto.

Kraken Security Lab ha dichiarato di aver divulgato tutti i dettagli di questa minaccia di attacco a KeepKey l'11 settembre e di averli resi pubblici ora in modo che la comunità Cripto possa proteggersi. Shapeshift ha confermato di aver ricevuto le informazioni e di aver chiesto ai propri utenti di utilizzare la passphrase BIP39 prima di allora.