ShapeShift, empresa de Swaps de criptomoedas e produtor de carteiras de hardware abordara as recentes alegações de vulnerabilidade da carteira KeepKey.
O ShapeShift respondeu a uma suposta vulnerabilidade submetida através de seu programa de divulgação responsável em um post publicado em 4 de agosto. Através desse anúncio, a empresa comentou um relatório de vulnerabilidade no programa em 1º de maio, descrevendo o que alguns pesquisadores acreditavam ser uma vulnerabilidade de hardware. .
A suposta vulnerabilidade permitiria que um invasor lesse o que estava na tela da carteira monitorando as flutuações de energia no monitor, no que é conhecido como um ataque de canal lateral. Se os invasores estivessem monitorando os níveis de energia enquanto informações confidenciais fossem exibidas na tela, isso, ostensivamente, lhes dava a oportunidade de roubar fundos do dispositivo.
A “vulnerabilidade” é impraticável
O ShapeShift observa que, para obter acesso a informações confidenciais exibidas na tela, um invasor precisa ter acesso físico ao dispositivo e monitorar com precisão o consumo de energia do KeepKey com um oscilômetro (ou um instrumento semelhante) à medida que as informações são exibidas.
O ShapeShift explica que, como essa suposta vulnerabilidade exigiria acesso físico, haveria uma maneira mais simples de adquirir as informações:
"Em comparação, seria muito mais fácil roubar a frase de recuperação de alguém simplesmente olhando por cima do ombro enquanto ela configurava o KeepKey ou instalava uma câmera escondida na sala em que estava sendo inicializada."
O ShapeShift afirma que um ataque de canal lateral exigiria acesso físico, equipamento especializado, habilidades de hardware e análise estatística dos dados para derivar o conteúdo exibido com base apenas no consumo de energia do monitor. Além disso, alega que, mesmo que todos esses requisitos fossem cumpridos, ainda seria muito difícil interpretar os dados:
“Devido ao displayer maior no KeepKey, várias palavras de frase de recuperação são exibidas de uma só vez. Isso torna muito mais difícil identificar palavras individuais (e a ordem das palavras) com base na energia usada pela tela. ”
Como o Cointelegraph reportou em Março, o principal fabricante de carteiras de hardware, Ledger, revelou vulnerabilidades nos dispositivos de seu concorrente direto, a Trezor. A Trezor respondeu alegando que nenhuma das fraquezas reveladas por Ledger em seu relatório é crítica.
