video thumb

کشمکش دو رقیب (ترزور و لجر) بر سر امنیت کیف پول‌ سخت افزاری

دوتا از بزرگترین سازنده‌های کیف پول سخت افزاری ، لجر (Ledger) و ترزور (Trezor) مناظره‌ای در مورد آسیب پذیری دستگاه‌های ترزور که سازنده لجر به آن ادعا کرده بود داشتند. سازنده لجر بیان می‌کند که چندین بار به ترزور برای حل این مشکلات پیش آمده فرصت دادیم و ترزور پاسخ داده است که هیچ یک از این حملات کارساز نیستند. و بزرگترین برنده در نهایت کاربران هستند که از این امنیت افزایش یافته سود می‌برند.

مشکل از آنجایی شروع شد که لجر سازنده کیف پول‌ سخت افزاری چند وقت پیش اعلام کرد که تیم امنیتی‌شان، از آسیب پذیری‌های موجود در دستگاه‌های ترزور که رقیب اصلی‌شان محسوب می‌شود، پرده برداشته است. در مطالعه‌ای که در این رابطه انجام شده، آمده است که این آسیب‌پذیری‌ها در اتک‌ لب (آزمایشگاه امنیتی) پیدا شده است. اتک ‌لب بخشی از شرکت لجر است که در آن به دستگاه‌های خود و همچنین رقبایشان نفوذ می‌کنند تا عملکرد آن‌ها را از نظر امنیتی بهبود بخشند.

آنچه که گزارش شده این است که از میان دستگاه‌هایی که مورد حمله قرار گرفته بودند، یکی از آنها کیف پول سخت افزاری ترزور است. نویسندگان تیم لجر در یک پست وبلاگ در مورد این داستان اینگونه می‌نویسند که، تقریبا چهار ماه قبل ما با ترزور (Trezor) تماس گرفتیم تا درباره ۵ آسیب پذیری که در اتک لب یعنی همان آزمایشگاه امنیتی‌شان کشف شده است به آنها بگوییم و طبق قوانین به ترزور فرصت داده شد تا این آسیب پذیری‌ها را شناسایی و برطرف کند. اما برخلاف آنچه تصور می‌شد، ترزور به آنها پاسخی نداده است و حتی زمان این مهلت هم به اتمام رسیده است.

در نهایت سازنده ترزور به این ادعاها چنین پاسخ می‌دهد این حقیقت دارد که لجر گزارش کرده  و با ما در طول این افشا سازی در ارتباط بوده است. اما برخی از واقعیت‌ها متفاوت نشان داده شدند که همین خود موجب تفسیر اشتباه در مورد آسیب پذیری‌ها می‌شود. از همین رو، ما می‌خواهیم که این ادعا‌ها را اثبات و شفاف سازی کنیم و همچنین به آنها پاسخ دهیم و در همین راستا بیانیه‌ای نوشتند. در این بیانیه رسمی، بیان کردند که هیچکدام از این حمله‌ها از راه دور قابل استفاده نیستند، همه مسیرهای حمله نشان داده شده مستلزم دسترسی فیزیکی به دستگاه، تجهیزات تخصصی، زمان و افراد متخصص است. با وجود رمزهای عبور قوی و اصول امنیتی پایه حتی حملات فیزیکی ارائه شده توسط لجر هم نمی‌توانند بر کاربران ترزور تاثیر بگذارند.

علاوه بر این، کاربران بر این باورند که ترزور با چنین پاسخی که بیان کرد ” برندگان واقعی، کاربران خودشان هستند”  حتما پیروز میدان می‌شود.

ترزور هم چنین گفته است که کاربران نگران می‌توانند رمز عبور امن  (passphrase feature)  را بر روی کیف پول سخت افزاری ترزور فعال کنند، اما به این نکته توجه داشته باشند که فراموش کردن عبارت عبور به معنای از دست دادن سرمایه خود می‌باشد.

محققان معتقد بودند که نقطه ضعف بالقوه ای شناسایی کرده اند اما گویا اینگونه نیست. هم چنین به نظر می‌رسد که لجر و ترزور در خصوص شناسایی آسیب پذیری ها از سایرین جلوتر می‌باشند.

لجر در سال ۲۰۱۷ بیش از یک میلیون کیف پول سخت افزاری فروخته است و با شراکت های جدید به پیشروی خود در این صنعت ادامه می‌دهد. ترزور نیز به توسعه کیف پول  ادامه می‌دهد و به تازگی پشتیبانی از اتریوم را به کیف پول خود افزوده است.