Kripto Nakit donanım cüzdanı sağlayıcısı OneKey, bir hack saldırısı ile karşılaşmış üzere duruyor. Laf konusu hack, bir siber Emniyet teşebbüsü tarafından gerçekleştirildi, yani “iyi niyetli hackerların” hareketi ile ortaya çıktı. Sorun, platformdaki bir Emniyet açığından kaynaklandı. İşte detaylar…
Kripto Nakit platformuna hack saldırısı
Kripto Nakit donanım cüzdanı sağlayıcısı OneKey, donanım cüzdanlarından birinin bir saniye içinde taarruza uğramasına müsaade veren Eser yazılımındaki bir Emniyet açığını ele aldığını söylüyor. Siber Emniyet teşebbüsü Unciphered tarafından 10 Şubat’ta YouTube’da yayınlanan bir görüntü, OneKey Mini’yi “kırarak açmalarına” İmkan tanıyan “Devasa kritik bir Emniyet açığından” yararlanmanın bir yolunu bulduklarını gösterdi.
Unciphered’in bir ortağı olan Eric Michaud’a nazaran, aygıtı modüllerine ayırıp kodlama ekleyerek, OneKey Mini’yi “fabrika moduna” döndürmek ve Emniyet kısmını atlamak Muhtemel oldu. Michaud, “Güvenli öğe, kripto anahtarlarınızı sakladığınız yerdir. Artık, olağanda irtibat, işlemenin yapıldığı CPU ile inançlı Öge ortasında şifrelenir,” diye açıkladı. Ayrıyeten aşağıdaki tabirleri kullandı:
Eh, bu durumda bunu yapmak için tasarlanmadığı ortaya çıktı. Bu yüzden yapabileceğiniz şey, bağlantıları izleyen ve akabinde kendi komutlarını enjekte eden bir araç koymaktır. Bunu, inançlı öğeye fabrika modunda olduğunu söylediği yerde yaptık.
OneKey, sorunu aslında ele almıştı
Ancak OneKey, 10 Şubat’ta yaptığı açıklamada, Unciphered tarafından belirlenen Emniyet açığını aslında ele aldığını belirterek, donanım grubunun Emniyet düzeltme ekini “bu yılın başlarında” “kimse etkilenmeden” güncellediğini belirtti. Proje, aşağıdaki sözleri kullandı:
Açıklanan bütün Emniyet açıklarının düzeltildi yahut düzeltiliyor. Bununla birlikte, parola sözleri ve Temel Emniyet uygulamalarıyla, Unciphered tarafından ifşa edilen fizikî ataklar bile OneKey kullanıcılarını etkilemeyecektir.
Our Response to Recent Security Fix Reports https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) February 10, 2023
Şirket ayrıyeten, Emniyet açığı dert verici olsa da, Unciphered tarafından tanımlanan atak vektörünün uzaktan kullanılamayacağını ve “yürütülmesinin Muhtemel olması için aygıtın sökülmesi ve laboratuvardaki Özel bir FPGA aygıtı aracılığıyla fizikî erişim” gerektirdiğinin altını çizdi. OneKey’e nazaran Unciphered ile yapılan yazışmalar sırasında öteki cüzdanlarda da benzeri sıkıntıların olduğu ortaya çıktı. OneKey, “Onlara OneKey’in güvenliğine yaptıkları katkılardan Dolayı teşekkür etmek için Unciphered mükafatları de ödedik” dedi.
Hiçbir şey yüzde 100 inançlı değil
OneKey, blog gönderisinde, kullanıcılarının güvenliğini sağlamak için, onları tedarik zinciri akınlarından korumak da iç olmak üzere, bir bilgisayar korsanı gerçek bir cüzdanı kendi denetimindeki bir cüzdanla değiştirdiğinde, Aka zahmetlere katlandığını söyledi. OneKey’in tedbirleri ortasında teslimatlar için kurcalamaya güçlü paketleme ve sert tedarik zinciri güvenliği idaresi sağlamak için Kriptokoin.com olarak da bildirdiğimiz üzere Apple’ın tedarik zinciri hizmet sağlayıcılarının kullanımı yer alıyor.
Gelecekte, yerleşik kimlik doğrulamayı uygulamayı ve daha yeni donanım cüzdanlarını daha yüksek düzeyli Emniyet bileşenleriyle yükseltmeyi umuyorlar. OneKey, donanım cüzdanlarının asıl emelinin her Vakit kullanıcıların coin’ini Kötü emelli yazılım ataklarından, bilgisayar virüslerinden ve diğer Irak tehlikelerden korumak olduğunu, fakat ne yazık ki hiçbir şeyin yüzde 100 inançlı olamayacağını yazdı.
Yorum Yok