Recentemente, a Ledger, empresa fabricante de carteiras de hardware para criptomoedas, divulgou um relatório durante o MITBitcoinExpo, no MIT (Massachusetts Institute of Technology), sobre algumas vulnerabilidades encontradas na Trezor, sua principal concorrente, que foram identificadas pelo laboratório da própria Ledger.
Dessa vez, a Trezor divulgou, logo na sequência, um texto para esclarecer e responder às reivindicações feitas pela Ledger.
Logo de início, a empresa destacou que nenhuma dessas vulnerabilidades podem ser exploradas remotamente e que para elas acontecerem, seria necessário acesso físico à carteira, além de um equipamento especializado, tempo e conhecimento técnico. Devido a esses motivos, a empresa considera que esses problemas são de menor importância para a maioria de seus usuários, afinal uma pesquisa revelou que 66% dos entrevistados consideram ataques remotos como uma ameaça primária.
A empresa também fez questão de falar sobre cada vulnerabilidade apresentada pela concorrente:
- Ataque da cadeia de suprimentos ( Genuinidade do dispositivo)
Sobre essa vulnerabilidade, a Trezor comentou:
“Ataques da Cadeia de Suprimentos são um problema eterno para todos os dispositivos de hardware (não apenas carteiras), não importa quão bem eles possam ser protegidos. Não há como um hardware se inspecionar e verificar sua integridade. O atestado de hardware não é uma solução, uma vez que as modificações de hardware podem ser (e foram) adicionadas, resultando no dispositivo que é genuíno. Além disso, toda a nossa produção é baseada na União Europeia, onde controlamos de perto todo o processo de fabricação.”
- Segurança do PIN
A empresa disse que já resolveu o problema e acrescentou que:
“A canalização lateral do PIN na Trezor One foi realmente impressionante e elogiamos o esforço da Ledger. Ao mesmo tempo, gostaríamos de agradecer a Ledger por divulgar a questão com responsabilidade. Esse vetor de ataque foi fechado ao fazer o back-port do caminho para armazenar dados na Trezor Model T para a Trezor One.”
Ainda sobre o PIN, mas agora em relação à multiplicação do ataque do canal lateral, a empresa afirmou que essa vulnerabilidade pressupõe que o invasor tenha o PIN do usuário, a frase secreta e o acesso físico ao dispositivo e que por ter tudo isso, o hacker pode enviar todos os fundos do dispositivo para qualquer pessoa.
- Ataque pelo software
Nesse caso, a Ledger encontrou apenas dois problemas, o que confirma que o código da Trezor é forte contra agentes maliciosos. A empresa disse que já resolveu, mas sem dar detalhes, e agradeceu à Ledger por confirmar que o código-fonte da Trezor é escrito com alto grau de qualidade
- Ataque surpresa (sobre os componentes, tal como seu chip)
Sobre o ataque em que o principal problema é o chip presente nas carteiras, a empresa comentou:
“Ficamos surpresos com o anúncio da Ledger sobre este assunto, especialmente depois de ter sido explicitamente solicitado para Ledger para não divulgar o problema, devido a possíveis implicações em todo a indústria de microchip, além de carteiras de hardware, como as indústrias médica e automotiva. Como a Ledger está negociando com o fabricante de chips (ST) no momento, também evitaremos divulgar qualquer informação crítica, exceto pelo fato de que esse vetor de ataque também é intensivo em recursos, exigindo equipamentos de laboratório para manipulações do microchip, bem como profundo conhecimento do assunto.
A Trezor terminou o comunicado falando que o relatório apresentado é uma lição valiosa para a equipe e que é preciso comunicar algo que todos já sabem: nenhuma carteira hardware é à prova de hackers e que, para cada carteira, existem ferramentas que podem ser usadas para mitigar as vulnerabilidades. A empresa também disse que continuarão fazendo o possível para deixar suas carteiras mais seguras.
Leia também: Ledger divulga vulnerabilidades de sua concorrente Trezor