보안 연구원 팀인 NinjaLab은 14년 동안 눈에 띄지 않았던 취약점을 발견했습니다. 하드웨어 마이크로컨트롤러에 있습니다. 보안 요소 (보안 요소), 많은 암호화폐 지갑에서 사용됩니다.
이 취약점은 예를 들어 새로운 Trezor(안전 4 및 안전 5)와 펌웨어 버전이 5.7보다 낮은 전체 YubiKey 5 시리즈에 영향을 미칩니다. EUCLEACK 공격에는 하드웨어 지갑에 대한 물리적 접근이 필요합니다.
NinjaLab에 따르면 이 취약점은 14년 동안 약 80번의 최상위 Common Criteria 인증 평가에서 발견되지 않았습니다.
NinjaLab의 연구 요약에 따르면 이 취약점은 Infineon Technologies 라이브러리를 실행하는 모든 장치에 영향을 미칩니다.안전 요소의 최대 제조업체 중 하나입니다.
지갑에서 발견된 취약점은 무엇인가요?
이 발견은 “사이드 채널 취약점”을 발견했다고 주장하는 NinjaLab의 공동 창립자인 Thomas Roche에 의해 이루어졌습니다. 그것을 발견한 그는 다음을 보여주는 측면 공격(EUCLEACK)을 설계했습니다. 마이크로컨트롤러가 손상될 수 있음 보안 요소 일부 암호화폐 지갑에 의해 운반됩니다.
이 물리적 공격의 사실성은 일반적으로 보안 요소로 구성되는 FIDO 프로토콜을 사용하는 보안 키 모델인 YubiKey 5Ci에서 NinjaLab에 의해 시연되었습니다.
일반적으로 이러한 측면 불안정성은 최신 설계의 마이크로 컨트롤러에도 영향을 미칩니다. Trezor Safe 시리즈와 마찬가지로. 따라서 Nano 또는 T 모델에는 영향을 미치지 않습니다.
마지막으로, 취약점이 최신 Infineon Optiga Trust M 및 Infineon Optiga TPM 보안 마이크로컨트롤러까지 확장되었음을 보여줍니다.
보안 전문가 NinjaLab.
NinjaLab은 EUCLEAK 공격이 이러한 제품에 적용되는지 아직 확인하지 못했다고 강조합니다. 즉, 마이크로컨트롤러에 대한 이러한 측면 공격은 이론적으로 가능합니다.
게다가 그들은 다음과 같이 경고한다. 이 스타일의 물리적 공격은 어렵고 많은 리소스가 필요합니다.. 결과적으로 지금까지 발견되지 않은 취약점이 있는 장치는 안전하게 유지됩니다.
EUCLEAK 공격에는 장치에 대한 물리적 액세스, 고가의 장비, 맞춤형 소프트웨어 및 기술이 필요합니다. 따라서 여기에 제시된 작업과 관련하여 YubiKey 또는 기타 영향을 받는 제품을 FIDO 하드웨어 인증 토큰으로 사용하여 응용 프로그램에 로그인하는 것이 사용하지 않는 것보다 여전히 더 안전합니다.
보안 전문가 NinjaLab.
Trezor 지갑은 안전합니까?
위의 내용은 Trezor의 진술과 일치합니다. 회사는 다음을 보장합니다. 사용자의 지갑 복구 문구는 위험하지 않습니다. 그리고 발견된 취약점은 백업 복사본을 생성하고 보호하는 프로세스와는 아무런 관련이 없습니다.
또한 그는 취약점과 Trezor 아키텍처 간의 관계에 대한 몇 가지 기술적 세부 사항을 명확히 했습니다.
이론적으로 Optiga 취약점으로 인해 누군가가 진위 확인을 우회할 수 있지만 이로 인해 위조 Trezor가 판매될 위험은 공급망에서 당사가 사용할 수 있는 여러 다른 도구를 통해 완화됩니다. 공식 e-스토어나 공식 유통업체 중 한 곳에서 Trezor를 구입했다면 이에 대해 걱정할 필요가 없습니다!
하드웨어 지갑 회사인 Trezor
NinjaLabs가 보장한 바와 같이, 이 취약점은 보안 요소가 포함된 하드웨어 지갑 보유자에게 제한적인 위험을 초래합니다. 그렇긴 하지만, 이 이벤트는 칩조차도 보안 요소 잠재적으로 위험한 취약점과 설계 오류로 인해 어려움을 겪을 수 있습니다.
이 발견에 영향을 받은 태도는 하드웨어 지갑에 대한 주의와 예측으로 이어져야 합니다. 이러한 태도는 불행하게도 또 다른 일반적인 경향, 즉 종종 깨지지 않고, 무적이며, 파괴되지 않는 것으로 판매되는 이러한 칩에 거의 마법 같은 명성을 부여하는 경향과 대조됩니다.
>