Ledger trova falle di sicurezza nei modelli Trezor Safe 3 e Safe 5

Secondo un rapporto di Ledger pubblicato il 12 marzo, gli ultimi portafogli hardware di Trezor, Safe 3 e Safe 5, presentano seri problemi di sicurezza.

Il rapporto afferma che il team di ricerca sulla sicurezza, Ledger Donjon, ha scoperto che questi dispositivi presentano numerose vulnerabilità nei microcontrollori, che potrebbero consentire agli hacker di ottenere l'accesso remoto ai fondi degli utenti.

I difetti si verificano nonostante l'aggiornamento di Trezor a un design a due chip che include un Secure Element certificato EAL6+. Sebbene il Secure Element protegga PIN e chiavi private, il rapporto di Ledger rivela che tutte le operazioni crittografiche vengono ancora eseguite sul microcontrollore, che è vulnerabile ad attacchi di glitching di tensione.

Se sfruttato, un aggressore potrebbetracsegreti crittografici, modificare il firmware e aggirare i controlli di sicurezza, mettendo a rischio i fondi degli utenti.

Il nuovo design di sicurezza di Trezor non riesce a proteggere le operazioni critiche

Trezor ha lanciato Safe 3 alla fine del 2023, seguito da Safe 5 a metà del 2024, ed entrambi i portafogli hanno introdotto un design a due chip aggiornato, nel tentativo di allontanarsi dall'architettura a chip singolo utilizzata nei vecchi modelli Trezor.

L'aggiornamento ha aggiunto anche un Optiga Trust M Secure Element di Infineon, che sarà un chip di sicurezza dedicato per memorizzare PIN e segreti crittografici.

Secondo le scoperte di Ledger, questo elemento di sicurezza impedisce l'accesso ai dati sensibili a meno che non venga inserito il PIN corretto. Blocca inoltre gli attacchi hardware come le variazioni di tensione, precedentemente utilizzati per estrarretracfrasi di recupero da modelli come Trezor One e Trezor T.

Ma nonostante questi miglioramenti, la ricerca di Ledger Donjon dimostra che le principali funzioni crittografiche, tra cui la firma delle transazioni, avvengono ancora sul microcontrollore, il che rimane una grave debolezza in termini di sicurezza.

Il microcontrollore utilizzato in Safe 3 e Safe 5 è etichettato TRZ32F429, che in realtà è un chip STM32F429 confezionato su misura.

Questo chip presenta vulnerabilità note, in particolare exploit di glitching di tensione che consentono agli aggressori di ottenere pieno accesso in lettura/scrittura alla memoria flash.

Una volta modificato il firmware, un aggressore potrebbe manipolare la generazione di entropia, che gioca un ruolo chiave nella sicurezza crittografica. Ciò potrebbe portare al furto remoto di chiavi private, dando agli hacker accesso completo ai fondi degli utenti.

Il sistema di autenticazione non riesce a verificare l'integrità del microcontrollore

Trezor utilizza l'autenticazione crittografica per verificare i suoi dispositivi, ma Ledger Donjon ha scoperto che questo sistema non controlla il firmware del microcontrollore.

Optiga Trust M Secure Element genera una coppia di chiavi pubblica-privata durante la produzione e Trezor firma la chiave pubblica, incorporandola in un certificato. Quando un utente connette il proprio wallet, Trezor Suite invia una richiesta casuale che richiede al dispositivo di firmare utilizzando la propria chiave privata. Se la firma è valida, il dispositivo è considerato autentico.

Ma la ricerca di Ledger dimostra che questo processo verifica solo l'elemento sicuro, non il microcontrollore o il suo firmware.

Trezor ha tentato di collegare Secure Element e microcontrollore utilizzando un segreto pre-condiviso, programmato in entrambi i chip durante la produzione. Secure Element risponderà alle richieste di firma solo se il microcontrollore dimostrerà di essere a conoscenza di questo segreto.

Il problema? Questo segreto pre-condiviso è memorizzato nella memoria flash del microcontrollore, che è vulnerabile ad attacchi di glitching di tensione.

Il team di Ledger è riuscito atracil segreto, riprogrammare il chip e bypassare completamente il processo di autenticazione. Ciò significa che un aggressore potrebbe modificare il firmware superando comunque i controlli di sicurezza di Trezor.

Il rapporto di Ledger descrive come hanno costruito una scheda di attacco personalizzata, che ha permesso loro di suddividere i pad del TRZ32F429 su connettori standard.

Questa configurazione consente loro di montare il microcontrollore sul loro sistema di attacco,tracil segreto pre-condiviso e riprogrammare il dispositivo senza essere scoperti.

Una volta riprogrammato, il dispositivo continuerebbe a sembrare legittimo quando connesso a Trezor Suite, poiché il sistema di attestazione crittografica rimane invariato.

Ciò crea una situazione pericolosa, in cui i portafogli Trezor Safe 3 e Safe 5 compromessi potrebbero essere venduti come dispositivi originali, mentre in realtà eseguono segretamente firmware dannosi che rubano i fondi degli utenti.

La convalida del firmware viene ignorata, lasciando gli utenti esposti

Trezor include un controllo dell'integrità del firmware in Trezor Suite, ma Ledger Donjon ha trovato un modo per aggirare completamente questa protezione.

Il controllo del firmware funziona inviando una richiesta casuale al dispositivo, che quindi calcola un hash crittografico utilizzando sia la richiesta sia il firmware. Trezor Suite verifica questo hash confrontandolo con un database di versioni firmware originali.

A prima vista, questo metodo sembra piuttosto efficace: un aggressore non può semplicemente codificare un hash falso perché non conoscerebbe in anticipo la sfida casuale, quindi il dispositivo deve calcolare l'hash in tempo reale, dimostrando di eseguire un firmware autentico.

Tuttavia, Ledger Donjon ha scoperto un modo per aggirare completamente questa protezione. Poiché il microcontrollore gestisce questo calcolo, un aggressore può modificarne il firmware per simulare una risposta valida.

Manipolando il modo in cui il dispositivo calcola l'hash, l'aggressore può far apparire autentica qualsiasi versione del firmware. Questo è un problema serio perché consente agli aggressori di eseguire software modificato superando comunque i controlli di verifica di Trezor Suite.

Di conseguenza, un Trezor Safe 3 o Safe 5 compromesso potrebbe comunque apparire legittimo, ma in realtà diffonde segretamente chiavi private o altera i dati delle transazioni.

Il rapporto di Ledger conclude che l'unico modo per proteggere completamente Safe 3 e Safe 5 sarebbe sostituire il microcontrollore con un'alternativa più sicura. Il Trezor Safe 5 include un microcontrollore più moderno, l'STM32U5, che non è soggetto ad attacchi di fault injection noti, almeno per ora.

Ma poiché si tratta pur sempre di un microcontrollore standard e non di un Secure Element dedicato, sussiste il rischio che vengano scoperti nuovi metodi di attacco.

Trezor ha già risolto le vulnerabilità, ma i problemi di sicurezza di base permangono. Finché il microcontrollore non sarà completamente protetto, gli utenti dovranno affidarsi alle protezioni software di Trezor, che la ricerca di Ledger Donjon ha già dimostrato essere aggirabili.