Üç araştırmacı dün bir konferansta kripto para donanım cüzdanlarının güvenlik açıklarıyla ilgili bir sunum yaptı. Trezor ve Ledger araştırmacıların sunumuna yanıt verdi.
Dmitry Nedospasov, Thomas Roth ve Josh Datko wallet.fail adında bir internet sitesi oluşturdular ve konferans sonrasında sunumlarını yayımladılar. Araştırmacıların iddialarına 24 saat geçmeden donanım cüzdanı üreticilerinden yanıt geldi.
Ledger resmi blog’u üzerinden iddialara yanıt verdi ve güvenlik araştırmacılarının sınırları zorlamasının iyi sonuçlar almak için önemli olduğunu belirtti. Ledger’ın açıklamasında sunumda yer alan 3 saldırı yolunun kritik zayıflık yarattığı görüşünün hatalı olduğunu ifade edildi. Ledger şu açıklamayı yaptı:
Güvenlik sektöründe genellikle kullanılan yöntem, sorumlu bir şekilde açığa çıkarmadır… Ledger’ın ödül programını takip etmeyen araştırmacılar bizi üzdü.
İlk olarak araştırmacılar düzenlenmiş fiziksel cüzdana ve kullanıcısının bilgisayarında malware bulunan bilgisayara saldırdılar. Ledger buna yanıt olarak bu yöntemin pratik olmayacağını hacker’ların bu yolu izlemeyeceğini belirtti. Parola saldırısına şöyle cevap verildi:
MCU kontrolünü saf dışı bırakarak saldırı düzenlemeye çalıştılar. MCU ekranı kontrol ediyor ancak doğrudan parolaya ya da çekirdeğe ulaşamıyor. Bunlar Secure Element denilen yerde tutuluyor.
Ledger cüzdanında araştırmacıların istedikleri programı yükleyebilmelerini sağlayan bir bug olduğunu kabul etti. Önümüzdeki yazılım güncellemesinde bu sorunun giderileceği açıklamaya eklendi. Zaten bug sayesinde kripto paralara ulaşılmasının mümkün olmadığı vurgulandı. Son olarak Ledger’ın Blue sürümünün şifresini radyo dalgaları olarank yayınlamasına cevap verildi. Bunun için de rastgele düzenlenmiş tuş takımının yeterli olacağı belirtildi.
Diğer yandan Trezor iddiaları değerlendirdiğini açıkladı. Twitter üzerinden yapılan açıklamada bahsedilen açıkların sadece fiziksel zayıflıklar olduğu ifade edildi:
Bir saldırganın bu yöntemleri kullanması için fiziksel olarak cüzdanınızı ele geçirmiş olması lazım. Eğer cüzdanınızı kaybetmezseniz kullanmaya devam edebilirsiniz. Ayrıca parola özelliğini açtığınızda sunumda da gösterildiği gibi hacker’lar cüzdanınıza ulaşamıyor.
Araştırmacılar öyle görünüyor ki bazı zayıf noktaları yakaladılar ancak saldırgan açısından verimli ya da pratik şekilde gerçekleştirilmesi oldukça düşük bir ihtimal gibi görünüyor. Ledger ve Trezor şimdilik zayıflıkları tanımlama ve bu konudaki iddialara yanıt verme konusunda yeterliler. Ledger sadece 2017 içerisinde bir milyonun üzerinde cüzdan satmıştı. Trezor ise son zamanlarda Ethereum desteği ekledi ve gelişmeye devam ediyor.
