Ledger encuentra fallos de seguridad en los modelos Trezor Safe 3 y Safe 5

Las últimas billeteras de hardware de Trezor, Safe 3 y Safe 5, tienen algunos problemas de seguridad graves, según un informe de Ledger que se publicó el 12 de marzo.

El informe dijo que su equipo de investigación de seguridad, Ledger Donjon, descubrió que estos dispositivos tenían un montón de vulnerabilidades en sus microcontroladores que podrían permitir a los piratas informáticos obtener acceso remoto a los fondos de los usuarios.

Las fallas se producen a pesar de la actualización de Trezor a un diseño de dos chips que incluye un Elemento Seguro con certificación EAL6+. Si bien este Elemento Seguro protege los PIN y las claves privadas, el informe de Ledger revela que todas las operaciones criptográficas se siguen realizando en el microcontrolador, que es vulnerable a ataques de fallos de voltaje.

Si se explota esta información, un atacante podríatracsecretos criptográficos, modificar el firmware y eludir los controles de seguridad, poniendo en riesgo los fondos de los usuarios.

El nuevo diseño de seguridad de Trezor no protege las operaciones críticas

Trezor lanzó Safe 3 a fines de 2023, seguido de Safe 5 a mediados de 2024, y ambas billeteras introdujeron un diseño mejorado de dos chips, en un esfuerzo por alejarse de la arquitectura de un solo chip utilizada en los modelos Trezor más antiguos.

La actualización también agregó un Optiga Trust M Secure Element de Infineon, que será un chip de seguridad dedicado para almacenar PIN y secretos criptográficos.

Según los hallazgos de Ledger, este elemento seguro impide el acceso a datos confidenciales a menos que se ingrese el PIN correcto. También bloquea ataques de hardware como la manipulación de voltaje, que anteriormente se utilizaban para extraertracsemilla de modelos como Trezor One y Trezor T.

Pero a pesar de estas mejoras, la investigación de Ledger Donjon muestra que las principales funciones criptográficas, incluida la firma de transacciones, todavía se realizan en el microcontrolador, lo que sigue siendo una debilidad de seguridad importante.

El microcontrolador utilizado en Safe 3 y Safe 5 está denominado TRZ32F429, que en realidad es un chip STM32F429 empaquetado a medida.

Este chip tiene vulnerabilidades conocidas, específicamente fallas de voltaje que permiten a los atacantes obtener acceso completo de lectura y escritura a la memoria flash.

Una vez que un atacante modifica el firmware, podría manipular la generación de entropía, un factor clave en la seguridad criptográfica. Esto podría conducir al robo remoto de claves privadas, lo que otorgaría a los hackers acceso completo a los fondos del usuario.

El sistema de autenticación no puede verificar la integridad del microcontrolador

Trezor utiliza autenticación criptográfica para verificar sus dispositivos, pero Ledger Donjon descubrió que este sistema no verifica el firmware del microcontrolador.

El Elemento Seguro Optiga Trust M genera un par de claves pública-privada durante la producción, y Trezor firma la clave pública, integrándola en un certificado. Cuando un usuario conecta su billetera, Trezor Suite envía un desafío aleatorio que el dispositivo debe firmar con su clave privada. Si la firma es válida, el dispositivo se considera auténtico.

Pero la investigación de Ledger muestra que este proceso sólo verifica el Elemento Seguro, no el microcontrolador o su firmware.

Trezor intentó vincular el Elemento Seguro y el microcontrolador mediante un secreto precompartido, programado en ambos chips durante la fabricación. El Elemento Seguro solo responderá a las solicitudes de firma si el microcontrolador demuestra conocer este secreto.

¿El problema? Este secreto precompartido se almacena en la memoria flash del microcontrolador, que es vulnerable a ataques de fallos de voltaje.

El equipo de Ledger logrótracel secreto, reprogramar el chip y eludir por completo el proceso de autenticación. Esto significa que un atacante podría modificar el firmware sin pasar las comprobaciones de seguridad de Trezor.

El informe de Ledger describe cómo construyeron una placa de ataque personalizada, que les permitió colocar los pads del TRZ32F429 en cabezales estándar.

Esta configuración les permite montar el microcontrolador en su sistema de ataque,tracel secreto previamente compartido y reprogramar el dispositivo sin ser detectado.

Una vez reprogramado, el dispositivo seguirá pareciendo legítimo cuando se conecte a Trezor Suite, ya que el sistema de certificación criptográfica permanece sin cambios.

Esto crea una situación peligrosa, en la que las billeteras Trezor Safe 3 y Safe 5 comprometidas podrían venderse como dispositivos genuinos, mientras se ejecuta en secreto un firmware malicioso que roba los fondos de los usuarios.

Se omite la validación del firmware, lo que deja a los usuarios expuestos

Trezor incluye una verificación de integridad del firmware en Trezor Suite, pero Ledger Donjon encontró una manera de eludir completamente esta protección.

La verificación de firmware funciona enviando un desafío aleatorio al dispositivo, que calcula un hash criptográfico utilizando tanto el desafío como su firmware. Trezor Suite verifica este hash con una base de datos de versiones de firmware originales.

A primera vista, este método parece bastante efectivo: un atacante no puede simplemente codificar un hash falso porque no conocería el desafío aleatorio de antemano, por lo que el dispositivo debe calcular el hash en tiempo real, demostrando que está ejecutando firmware genuino.

Sin embargo, Ledger Donjon descubrió una forma de eludir por completo esta protección. Dado que el microcontrolador gestiona este cálculo, un atacante puede modificar su firmware para falsificar una respuesta válida.

Al manipular el cálculo del hash del dispositivo, el atacante puede hacer que cualquier versión de firmware parezca auténtica. Esto supone un problema grave, ya que permite a los atacantes ejecutar software modificado sin pasar las comprobaciones de verificación de Trezor Suite.

Como resultado, un Trezor Safe 3 o Safe 5 comprometido aún podría parecer legítimo mientras filtra secretamente claves privadas o altera datos de transacciones.

El informe de Ledger concluye que la única manera de asegurar completamente los Safe 3 y Safe 5 sería reemplazar el microcontrolador por una alternativa más segura. El Trezor Safe 5 incluye un microcontrolador más moderno, el STM32U5, que no presenta ataques de inyección de fallos conocidos públicamente, al menos por ahora.

Pero como sigue siendo un microcontrolador estándar y no un elemento seguro dedicado, sigue existiendo el riesgo de que se descubran nuevos métodos de ataque.

Trezor ya ha corregido las vulnerabilidades, pero los problemas de seguridad subyacentes persisten. Hasta que el microcontrolador esté completamente protegido, los usuarios deberán confiar en las protecciones de software de Trezor, cuya evasión se ha demostrado, según la investigación de Ledger Donjon.