Pokyčiai iš naujo sukėlė saugumo diskusijas kriptovaliutų aparatinės įrangos piniginių rinkoje. „Ledger“ tyrėjai nustatė kritinį Šveicarijos „Tangem“ aparatinės piniginės kortelių pažeidžiamumą, kurį galima išnaudoti fiziškai. Pranešama, kad trūkumas leidžia iš naujo nustatyti įrenginio slaptažodžio apsaugą naudojant specializuotą lazerinę ataką.
Remiantis tyrėjų pasidalinta informacija, šiai atakai reikia fizinės prieigos prie įrenginio. Be to, tai nėra tokia ataka, kurią gali lengvai atlikti paprasti vartotojai. Tam reikia maždaug 250 000 USD vertės laboratorinės įrangos ir pažangių techninių žinių. Taigi pažeidžiamumas labiau laikomas sudėtingų fizinių atakų scenarijais, nukreiptais į aukšto lygio taikinius.
Kaip veikia lazerio ataka
Remiantis naujienų pranešimu, užpuolikas gali suaktyvinti slaptažodžio nustatymo iš naujo procesą, paveikdamas Tangem kortelės saugos mechanizmą lazeriu pagrįsta intervencija. Kadangi pagrindinė aparatinės įrangos piniginių paskirtis yra saugoti privačius raktus neprisijungus ir saugioje aplinkoje, toks pažeidžiamumas, leidžiantis iš naujo nustatyti slaptažodį, laikomas dideliu pavojumi pramonei. Tai, kad ataka negali būti įvykdyta nuotoliniu būdu, riboja kasdienių vartotojų riziką. Vis dėlto pažymėtina, kad įrenginio saugumas teoriškai gali būti pažeistas, jei būtų gauta fizinė prieiga.
Programinės įrangos pataisymas nepasiekiamas
Vienas iš svarbiausių dalykų yra tai, kad pažeidžiamumo negalima pašalinti naudojant šiuo metu apyvartoje esančių Tangem kortelių programinės įrangos atnaujinimą. Tyrėjai teigia, kad dėl esamų kortelių techninės konstrukcijos vėliau šio pažeidžiamumo pataisyti neįmanoma. Dėl to gali tekti išspręsti saugos problemą naudojant naujus gamybos procesus arba aparatinės įrangos peržiūras. Tai ryškus priminimas, kad kai kurie aparatūros trūkumai gali išlikti nuolatiniai, kai įrenginiai bus išsiųsti.
Ką tai reiškia vartotojams
Ekspertai pabrėžia, kad aparatinės piniginės vartotojai tokiose ataskaitose turėtų tiksliai įvertinti grėsmės mastą. Išpuoliai, kuriems reikalinga fizinė prieiga, didelė kaina ir laboratorinė aplinka, atrodo mažai tikėtini kasdieniniam naudojimui. Tačiau incidentas dar kartą pabrėžė nepriklausomų saugumo auditų ir skaidraus techninio atskleidimo svarbą aparatinės įrangos piniginės sektoriuje. Vartotojai gali norėti būti informuoti, bet tikriausiai jiems nereikia panikuoti dėl šio konkretaus pažeidžiamumo.
*Tai nėra investavimo patarimas.
![]()
