Produsen dompet hardware Ledger baru-baru ini membeberkan kerentanan yang ada pada perangkat pesaing-nya yaitu Trezor, menurut sebuah laporan yang diterbitkan pada Senin 11 Maret 2019.
Namun temuan Ledger ini belum ditanggapi oleh pihak Trezor.
Ledger mengklaim bahwa mereka telah berulang kali berbicara kepada Trezor tentang kelemahan dalam dompet Trezor One dan Trezor T mereka, dan telah memutuskan untuk mengumumkannya kepada publik.
Masalah pertama terkait dengan keaslian perangkat. Menurut tim Ledger, perangkat Trezor dapat ditiru dengan melakukan backdooring perangkat dengan malware dan kemudian menyegelnya kembali di dalam kotaknya dengan memalsukan stiker anti-perusak, yang menurut laporan mudah dihapus. Ledger menyatakan bahwa kerentanan ini hanya dapat diatasi dengan merombak desain dompet Trezor dan, khususnya, dengan mengganti salah satu komponen inti dengan chip Secure Element.
Masalah kedua, peretas Ledger pernah melakukan pembobolan PIN pada dompet Trezor menggunakan serangan side-channel dan melaporkannya ke Trezor pada akhir November 2018 lalu. Trezor kemudian memecahkan masalah tersebut dalam update firmware 1.8.0.
Kerentanan ketiga dan keempat, Ledger sebelumnya juga menawarkan sebuah penyelesaian masalah dengan mengganti komponen inti dengan chip Secure Element. Ledger menyatakan bahwa penyerang dengan akses fisik ke Trezor One dan Trezor T dapat mengekstraksi semua data dari memori flash dan mendapatkan kontrol atas aset yang tersimpan di perangkat.
Kelemahan terakhir yang ditemukan juga terkait dengan model keamanan Trezor: menurut Ledger, perpustakaan crypto dari Trezor One tidak mengandung tindakan pencegahan yang tepat terhadap serangan perangkat keras. Tim mengklaim bahwa seorang hacker dengan akses fisik ke perangkat tersebut dapat mengekstrak kunci rahasia melalui serangan side-channel, meskipun Trezor telah mengklaim bahwa dompetnya tahan terhadap hal tersebut.
Pada bulan November 2018, perusahaan perangkat keras Trezor mendapati pemalsuan perangkat Trezor One oleh pihak yang tidak dikenal. Dompet palsu itu tampaknya berasal dari China. Trezor menyarankan kepada calon pembelinya untuk membeli produk dompet hardwarenya melalui situs website resmi perusahaan Trezor.
Dalam laporan terakhir, Ledger juga mengklaim bahwa pengguna tidak dapat memastikan keaslian ketika mereka membeli perangkat keras tersebut dari situs web resmi Trezor. Penyerang mungkin dapat membeli beberapa perangkat, lalu membukanya, dan kemudian mengirimnya kembali ke produsen untuk meminta penggantian perangkat. Jika perangkat yang bermasalah tersebut dijual kembali, dana crypto pengguna nantinya dapat dicuri, begitu kurang lebihnya kesimpulan yang diungkapkan oleh Ledger.
Pada November 2018, tim peneliti di balik proyek peretasan Wallet.fail mendemonstrasikan bagaimana mereka dapat meretas Trezor One, Ledger Nano S dan Ledger Blue pada konferensi 35C3 Refreshing Memories. Baik Trezor dan Ledger mengakui kerentanan yang ditemukan – Trezor mengatakan bahwa upgrade firmware akan mengatasi masalah tersebut – tetapi Ledger mengatakan bahwa mereka tidak terlalu mempermasalahkan dompetnya karena dirasa dompetnya sudah aman.
Apakah ini strategi untuk melumpuhkan pihak lawan atau ini adalah suatu pertolongan? Ada baiknya untuk selalu melakukan penggalian informasi terlebih dahulu sebelum membeli produk dompet hardware.
The post Waspada: Dua Model Dompet Hardware Dari Trezor Memiliki Masalah Kerentanan appeared first on .
Tidak ada komentar:
Posting Komentar