Il team di ricerca open-source di Ledger scopre e segnala una vulnerabilità nei dispositivi Safe 3 e Safe 5 di Trezor.
Secondo quanto emerso da un post pubblicato su X il 12 marzo, il team di ricerca open-source di Ledger, denominato Ledger Donjon, ha individuato una falla nei microcontrollori dei modelli Safe 3 e Safe 5 di Trezor. Nonostante i recenti miglioramenti implementati da Trezor, Ledger ha scoperto che è ancora possibile eseguire operazioni crittografiche sul microcontrollore di questi dispositivi, potenzialmente esponendoli ad “attacchi più avanzati”.
Charles Guillemet, Chief Technology Officer di Ledger, ha dichiarato:
“Crediamo che rendere l’ecosistema più sicuro aiuti tutti ed è fondamentale mentre spingiamo verso una più ampia adozione di crypto e asset digitali”.
Trezor aveva già implementato i Secure Element (SE), chip progettati per proteggere il codice PIN dell’utente e i segreti crittografici, poiché i primi dispositivi Trezor potevano essere compromessi modificando il software in esecuzione, potenzialmente consentendo a malintenzionati di rubare i fondi degli utenti. Secondo Ledger, questa implementazione “ostacola efficacemente qualsiasi attacco hardware a basso costo, in particolare il voltage glitching”, offrendo agli utenti la sicurezza che i loro fondi sono protetti anche in caso di smarrimento o furto del dispositivo.
Tuttavia, Ledger ha individuato un altro potenziale vettore di attacco proveniente dal microcontrollore, l’altra parte principale del design a due chip di Trezor per i suoi modelli Safe 3 e 5. Trezor ha implementato un controllo di integrità del firmware per rilevare software modificato, ma Ledger è riuscita a dimostrare che un attaccante può comunque aggirare tale controllo di sicurezza.
Trezor ha confermato su X che i fondi degli utenti rimangono al sicuro e che non è richiesta alcuna azione. Tuttavia, quando gli è stato chiesto se fosse stata in grado di risolvere il problema tramite un aggiornamento del firmware, il fornitore di hardware wallet ha risposto:
“Purtroppo no. Nella cybersecurity, la regola d’oro è semplice: nulla è completamente indistruttibile. Ecco perché abbiamo già implementato una difesa multi-livello contro gli attacchi alla catena di approvvigionamento e consigliamo sempre ai nostri utenti di acquistare da fonti ufficiali”.
