分类帐在Trezor Safe 3和Safe 5型号中发现安全缺陷
币圈网报道:
根据Ledger的一份报告,Trezor最新的硬件钱包,即Safe 3和Safe 5,有一些严重的安全问题。
该报告说,其安全研究团队Ledger Donjon发现,这些设备在其微控制器中有很多漏洞,可以使黑客可以远程访问用户资金。
尽管Trezor升级到包括EAL6 认证的安全元件,但这些缺陷仍存在。尽管安全元素可以保护引脚和私钥,但Ledger报告显示,所有加密操作仍在微控制器上执行,该操作机构容易受到电压故障攻击的影响。
如果被利用,攻击者可以提取加密秘密,修改固件并绕过安全检查,使用户资金处于危险之中。
Trezor新安全设计无法保护关键操作
特雷佐尔(Trezor)于2023年底推出了Safe 3,其次是2024年中期的Safe 5,两个钱包都引入了升级的两片设计,以努力摆脱较旧Trezor型号的单芯片建筑。
该升级还增加了Infineon的Optiga Trust M Secure Element,这将是一个专用的安全芯片,用于存储引脚和加密秘密。
根据对于分类帐的发现,除非输入正确的引脚,否则此安全元素可以防止访问敏感数据。它还阻止了诸如电压故障之类的硬件攻击,这些攻击以前用于从Trezor One和Trezor T等模型中提取种子短语。
两个Trezor Safe 3的PCB,一个是运行的真实软件,另一个运行修改的固件|来源:分类帐但是,尽管有这些改进,但莱杰·唐蒙(Ledger Donjon)的研究表明,包括交易签名在内的主要加密功能仍然存在于微控制器上,这仍然是主要的安全弱点。
安全3和Safe 5中使用的微控制器标记为TRZ32F429,实际上是一种定制包装的STM32F429芯片。
该芯片具有已知的漏洞,特别是电压故障漏洞,使攻击者能够获得对闪存的完整读取/写入访问。
一旦攻击者修改了固件,他们就可以操纵熵生成,这在加密安全中起着关键作用。这可能会导致远程盗窃私钥,从而使黑客完全访问用户资金。
身份验证系统无法验证微控制器完整性
Trezor使用加密身份验证来验证其设备,但Ledger Donjon发现该系统未检查微控制器固件。
Optiga Trust M Secure Element在生产过程中生成了一个公私的密钥对,Trezor签名公钥,将其嵌入证书中。当用户连接钱包时,Trezor Suite发送了一个随机挑战,该设备必须使用其私钥签名。如果签名有效,则该设备被认为是真实的。
Optiga Trust M Secure Element如何工作|来源:分类帐但是Ledger的研究表明,此过程仅验证安全元素,而不是微控制器或其固件。
特雷佐尔(Trezor)试图使用预共享的秘密将安全元素和微控制器链接起来,该秘密在制造过程中都被编程为两个芯片。安全元素只有在微控制器证明了此秘密知识的情况下,才会响应签名请求。
问题?此预共享秘密存储在微控制器闪存中,该闪存容易受到电压故障攻击的影响。
Ledger团队能够提取秘密,对芯片进行重新编程,并完全绕过身份验证过程。这意味着攻击者可以在仍然通过Trezor安全检查的同时修改固件。
Ledger报告描述了他们如何构建自定义攻击板,这使他们能够将TRZ32F429垫拆分到标准标题上。
此设置使他们可以将微控制器安装到其攻击系统上,提取预共享的秘密,然后在未检测的情况下对设备进行重新编程。
重新编程后,由于加密证明系统保持不变,因此该设备连接到Trezor Suite时仍将显得合理。
这造成了危险的情况,在这种情况下,Trezor Safe 3和Safe 5钱包可能会以真正的设备出售,同时秘密地运行窃取用户资金的恶意固件。
固件验证被绕过,使用户暴露
Trezor确实在Trezor Suite中包括了固件完整性检查,但Ledger Donjon找到了一种完全绕过此保护的方法。
固件检查通过向设备发送随机挑战来起作用,然后使用挑战及其固件计算加密哈希。 Trezor Suite可以根据真正的固件版本的数据库来验证此哈希。
乍一看,这种方法似乎很有效 - 攻击者不仅要进行虚假哈希,因为他们不会提前知道随机的挑战,因此该设备必须实时计算哈希,并证明它运行真正的固件。
但是,Ledger Donjon发现了一种完全绕过此保护的方法。由于微控制器可以处理此计算,因此攻击者可以修改其固件以伪造有效的响应。
来源:分类帐通过操纵设备如何计算哈希,攻击者可以使任何固件版本显得真实。这是一个严重的问题,因为它允许攻击者在仍通过Trezor Suite验证检查的同时运行修改的软件。
结果,被折衷的Trezor Safe 3或Safe 5仍然可以显得合法,同时秘密泄漏私钥或更改交易数据。
Ledger报告得出的结论是,完全确保安全3和Safe 5的唯一方法是用更安全的替代方案替换微控制器。 Trezor Safe 5确实包括一个更现代的微控制器STM32U5,它没有公开已知的断层注射攻击 - 至少目前。
但是,由于它仍然是标准的微控制器,而不是专用的安全元素,因此仍然可以发现新的攻击方法的风险。
Trezor已经修补了这些漏洞,但仍然存在潜在的安全问题。直到微控制器本身得到充分保护之前,用户将不得不信任Trezor软件保护措施,Ledger Donjon Research已经证明了这一点可以被绕过。