Dikkat! Donanım Cüzdanlarında Yeni Bir Açık Tespit Edildi – Trezor’dan Açıklama Geldi

Geçtiğimiz günlerde yapılan 35C3 Refreshing Memories isimli konferansta, bir grup araştırmacı Trezor One, Ledger Nano S ve Ledger Blue donanım cüzdanlarının hacklenebildiğini gösterdi. Söz konusu hackleme süreci bir video ile de canlı canlı gösterildi.

”Wallet.fail” isimli hackleme projesinin arkasındaki araştırma ekibi, donanım tasarımcısı ve güvenlik uzmanı Dmitry Nedospasov, yazılım geliştiricisi Thomas Roth ve güvenlik araştırmacısı ve eski bir denizaltı subayı Josh Datko gibi alanlarında uzman isimlerden oluşuyor. Ekip, konferans esnasında Trezor One donanım cüzdanından özel anahtarı almayı başarabildiklerini duyurdu ve bunu flashing olarak da bilinen mevcut verilerin üstüne veri ekleme veya veri kaydetme süreci ile yeni bir yazılım ekleyerek yaptıklarını duyurdu. Araştırmacılar bu yöntemin işe yaraması için donanım cüzdanı kullanıcısının hiçbir parola koymamış olması gerektiğini de vurguladı.

SatoshiLabs (Trezor’un arkasındaki firma) CTO’su Pavol Rusnak ise, konu hakkında kendi Twitter hesabından bir açıklama yaptı ve bu durumu sahneden öğrendiklerini, bunu çözmek için biraz zaman gerektiğini ve söz konusu durumu Ocak ayının sonuna kadar yayınlanacak yeni bir yazılım güncellemesi ile çözüme kavuşturacaklarını duyurdu.

With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we’ll be addressing them via a firmware update at the end of January.

— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) 28 Aralık 2018

Ekip bunun yanı sıra firma tarafından üretilmiş en pahalı donanım cüzdanı olan Ledger Blue içerisinde de dokunmatik ekran sayesinde bir açık bulduklarını ifade ettiler. Ekip, söz konusu açık sayesinde cihazın pin koduna erişim sağlayabilmiş.