Компания Ledger обнаружила уязвимости в системах безопасности моделей Trezor Safe 3 и Safe 5

Согласно отчету компании Ledger, опубликованному 12 марта, новейшие аппаратные кошельки Trezor, Safe 3 и Safe 5, имеют серьезные проблемы с безопасностью.

В отчете говорится, что исследовательская группа Ledger Donjon, занимающаяся вопросами безопасности, обнаружила в микроконтроллерах этих устройств множество уязвимостей, которые могут позволить хакерам получить удаленный доступ к средствам пользователей.

Недостатки выявлены, несмотря на то, что Trezor перешел на двухчиповую конструкцию, включающую сертифицированный по стандарту EAL6+ защищенный элемент. Хотя защищенный элемент защищает PIN-коды и закрытые ключи, отчет Ledger показывает, что все криптографические операции по-прежнему выполняются на микроконтроллере, который уязвим для атак с использованием скачков напряжения.

В случае использования уязвимости злоумышленник может получитьtracк криптографическим секретам, модифицировать прошивку и обойти проверки безопасности, что поставит под угрозу средства пользователей.

Новая система безопасности Trezor не обеспечивает защиту критически важных операций

Компания Trezor выпустила Safe 3 в конце 2023 года, а затем Safe 5 в середине 2024 года. В обоих кошельках была представлена ​​модернизированная двухчиповая конструкция, призванная отойти от одночиповой архитектуры, использовавшейся в более старых моделях Trezor.

В рамках обновления также был добавлен защищенный чип Optiga Trust M Secure Element от Infineon, который будет представлять собой специализированный чип безопасности для хранения PIN-кодов и криптографических секретов.

Согласно данным Ledger, этот защищенный элемент предотвращает доступ к конфиденциальным данным, если не введен правильный PIN-код. Он также блокирует аппаратные атаки, такие как скачки напряжения, которые ранее использовались для извлеченияtrac-фраз из таких моделей, как Trezor One и Trezor T.

Однако, несмотря на эти улучшения, исследования Ledger Donjon показывают, что основные криптографические функции, включая подписание транзакций, по-прежнему выполняются на микроконтроллере, что остается серьезной уязвимостью в плане безопасности.

В сейфах Safe 3 и Safe 5 используется микроконтроллер с маркировкой TRZ32F429, который на самом деле представляет собой микросхему STM32F429 в специальном корпусе.

Данный чип имеет известные уязвимости, в частности, уязвимости, связанные с манипуляциями напряжением, которые позволяют злоумышленникам получить полный доступ на чтение/запись во флэш-память.

После модификации прошивки злоумышленник может манипулировать генерацией энтропии, которая играет ключевую роль в криптографической безопасности. Это может привести к удаленной краже закрытых ключей, предоставляя хакерам полный доступ к средствам пользователей.

Система аутентификации не может проверить целостность микроконтроллера

Компания Trezor использует криптографическую аутентификацию для проверки своих устройств, но компания Ledger Donjon обнаружила, что эта система не проверяет прошивку микроконтроллера.

Устройство Optiga Trust M Secure Element генерирует пару открытого и закрытого ключей в процессе работы, а Trezor подписывает открытый ключ, внедряя его в сертификат. Когда пользователь подключает свой кошелек, Trezor Suite отправляет случайный запрос, который устройство должно подписать с помощью своего закрытого ключа. Если подпись действительна, устройство считается подлинным.

Однако исследования компании Ledger показывают, что этот процесс проверяет только защищенный элемент, а не микроконтроллер или его микропрограмму.

Компания Trezor попыталась связать защищенный элемент и микроконтроллер, используя предварительно согласованный секретный ключ, запрограммированный в оба чипа во время производства. Защищенный элемент будет отвечать на запросы подписи только в том случае, если микроконтроллер подтвердит знание этого секретного ключа.

В чём проблема? Этот заранее согласованный секрет хранится во флэш-памяти микроконтроллера, которая уязвима для атак с использованием скачков напряжения.

Команда Ledger смоглаtracсекрет, перепрограммировать чип и полностью обойти процесс аутентификации. Это означает, что злоумышленник мог бы модифицировать прошивку, пройдя при этом проверки безопасности Trezor.

В отчете компании Ledger описывается, как они создали специальную плату для атаки, которая позволила им вывести контакты TRZ32F429 на стандартные разъемы.

Такая схема позволяет им установить микроконтроллер на свою систему атаки,tracзаранее согласованный секретный ключ и перепрограммировать устройство незаметно.

После перепрограммирования устройство по-прежнему будет выглядеть легитимным при подключении к Trezor Suite, поскольку система криптографической аттестации останется неизменной.

Это создает опасную ситуацию, когда скомпрометированные кошельки Trezor Safe 3 и Safe 5 могут продаваться как подлинные устройства, но при этом тайно использовать вредоносное программное обеспечение, которое крадет средства пользователей.

Проверка прошивки обходится стороной, что делает пользователей уязвимыми

В состав Trezor Suite входит проверка целостности прошивки, но компания Ledger Donjon нашла способ полностью обойти эту защиту.

Проверка прошивки осуществляется путем отправки случайного запроса на устройство, которое затем вычисляет криптографический хеш, используя как этот запрос, так и свою прошивку. Trezor Suite проверяет этот хеш по базе данных подлинных версий прошивки.

На первый взгляд, этот метод кажется довольно эффективным — злоумышленник не может просто жестко запрограммировать поддельный хеш, потому что он не будет заранее знать случайный запрос, поэтому устройство должно вычислять хеш в реальном времени, доказывая, что на нем установлена ​​подлинная прошивка.

Однако компания Ledger Donjon обнаружила способ полностью обойти эту защиту. Поскольку вычисления выполняются микроконтроллером, злоумышленник может модифицировать его прошивку, чтобы имитировать корректный ответ.

Манипулируя способом вычисления хеша устройством, злоумышленник может сделать любую версию прошивки похожей на подлинную. Это серьезная проблема, поскольку она позволяет злоумышленникам запускать модифицированное программное обеспечение, при этом успешно проходя проверки Trezor Suite.

В результате взломанный сейф Trezor Safe 3 или Safe 5 может выглядеть легитимным, тайно раскрывая закрытые ключи или изменяя данные транзакций.

В отчете Леджера делается вывод, что единственный способ полностью обезопасить Safe 3 и Safe 5 — это заменить микроконтроллер на более безопасную альтернативу. В Trezor Safe 5 используется более современный микроконтроллер STM32U5, для которого пока не известно ни одной атаки с внедрением ошибок.

Но поскольку это по-прежнему стандартный микроконтроллер, а не специализированный защищенный элемент, сохраняется риск обнаружения новых методов атаки.

Компания Trezor уже устранила уязвимости, но основные проблемы безопасности остаются. Пока сам микроконтроллер не будет полностью защищен, пользователям придется доверять программной защите Trezor, которую, как уже доказали исследования Ledger Donjon, можно обойти.