A ShapeShift (empresa de swaps de criptomoedas e produtora de carteiras de hardware) recebeu um relatório de seu Programa de Divulgação Responsável que identificou uma vulnerabilidade em sua carteira de hardware, a KeepKey. Depois disso, nesta semana, a empresa falou sobre a tal vulnerabilidade, conforme retratado em seu próprio blog.
A empresa reforçou que a segurança é uma das suas maiores prioridades e, para isso, o relatório foi analisado para melhor entender a vulnerabilidade encontrada.
“Acreditamos que há um risco insignificante para os usuários da ShapeShift, suas KeepKeys e seus fundos.”
Em seguida, a equipe de segurança explicou a vulnerabilidade:
“A tela da KeepKey usa energia. Ao medir as diferenças sutis na quantidade de energia usada pela tela a qualquer momento, é possível identificar o que está sendo exibido. Isso é chamado de ataque de canal lateral. Enquanto o ataque não está lendo a tela diretamente (está apenas lendo as flutuações de poder), um hacker pode descobrir o que está na tela de qualquer maneira. Se isso for feito enquanto informações confidenciais estiverem na tela (como sua frase de recuperação), um invasor poderá roubar seus fundos.”
A empresa afirmou que, para obter acesso a informações confidenciais exibidas na tela, um invasor precisa ter acesso físico ao dispositivo e monitorar com precisão o consumo de energia da KeepKey com um oscilômetro (ou um instrumento semelhante) à medida em que as informações são exibidas.
A ShapeShift explica que, como essa suposta vulnerabilidade exigiria acesso físico, haveria uma maneira mais simples de adquirir as informações:
“Em comparação, seria muito mais fácil roubar a frase de recuperação de alguém simplesmente olhando por cima do ombro enquanto ela configurava a KeepKey ou instalava uma câmera escondida na sala em que estava sendo inicializada.”
Por fim, a empresa declarou que acredita ser um risco insignificante para os usuários, mas que, independente disso, a ShapeShift sempre recomenda que o usuário tenha cautela. A empresa ainda declarou que continuará a monitorar esta vulnerabilidade e quaisquer outros relatórios enviados pelo Programa de Divulgação Responsável, visando manter seus usuários no controle de seus fundos com uma plataforma segura e fácil de usar.
Leia também: Pesquisadores encontraram grave vulnerabilidade em site que gera carteiras offline