Suche
Mein Konto
يكشف غير المنصوص الآن عن قابلية تصحيح في محفظة Onekey
في مقطع فيديو على YouTube الذي تم تقسيمه على قناتها ، أظهر فريق الأمن السيبراني غير المنقول ثغرة أمنية حاسمة لحقيبة رسائل Onekey التي اكتشفوها أثناء البحث. كالمعتاد مع اكتشاف القبعات البيضاء لنقاط الضعف ، تم نشر الفيديو بعد تصحيحه. في فقدان التشفير المعتاد غير المنبث ، ربما يكون الناشئة الأمنية الإلكترونية ، والتي تتمثل التركيز الرئيسي في استعادة التشفير المفقود للعملاء الذين لم يعودوا لديهم إمكانية الوصول إلى محافظهم ، على الأرجح المشكلة بدلاً من محاولة استرداد الأموال للعميل. في الفيديو ، يتم تقسيم حقيبة رسائل OneCey والتلاعب بها ، حيث يقوم الفريق غير المنقول بإدراج الأجهزة التي يمتلكها التواصل بين وحدة المعالجة المركزية ...
يكشف غير المنصوص الآن عن قابلية تصحيح في محفظة Onekey
في مقطع فيديو على YouTube الذي تمت مشاركته على قناتها ، أظهر فريق الأمن السيبراني غير المنبثقة ثغرة حاسمة في حقيبة خطاب Onekey التي اكتشفوها أثناء البحث.
كالمعتاد مع اكتشاف الضعف الأبيض للضعف ، تم نشر الفيديو بعد تصحيحه.
التشفير المعتاد المفقود
uniphered ، بدء تشغيل الأمن السيبراني ، التركيز الرئيسي لاستعادة التشفير المفقود للعملاء الذين لم يعودوا يمكنهم الوصول إلى حاوياتهم ، ربما كشفت عن المشكلة عندما حاولت استرداد الأموال للعميل. في الفيديو ، يتم تقسيم جيب خطاب OneCey ومعالجته ، حيث يقوم الفريق غير المنقول بإدراج الأجهزة التي تراقب الاتصالات بين وحدة المعالجة المركزية للمحفظة ووحدتها الآمنة.
بشكل عام ، يتم تشفير التواصل بين وحدة المعالجة المركزية والوحدة الآمنة - حيث يتم تخزين علم الإلكتروغرافيا والتشفير. ومع ذلك ، لا يبدو أن هذا هو الحال مع محافظ Onekey.
"عادةً ما يكون التواصل بين وحدة المعالجة المركزية ، حيث تتم المعالجة ويتم تشفير العنصر الآمن. حسنًا ، اتضح أنه في هذه الحالة لم يتم بناؤه من أجله. لذلك يمكنك تثبيت أداة في الوسط تراقب الاتصالات ثم إدراج أوامرها الخاصة."
الالتفافية في وضع المصنع
من خلال إدخال أجهزتهم بين وحدة المعالجة المركزية والوحدة الآمنة ، تمكن الفريق غير المنقوع من جعل الجهاز يعتقد أنه كان في وضع المصنع ، الذي نقل بعد ذلك Mnemonics إلى فريق الفريق.
"لقد فعلنا ما يخبره بعد ذلك العنصر الآمن بأنه في وضع المصنع ويمكننا إخراج mnemonics."
كان هذا من شأنه أن يجعل من الممكن لممثل سيئ قد اكتشف نقطة الضعف للوصول إلى المحفظة بمجرد وضعها مرة أخرى.
إجابتنا على التقارير الحالية على قروض الأمان https://t.co/DP9NNP1D0U
-حقيبة موجزة مفتوحة المصدر مفتوحة (onekekehq) 10. تجدر الإشارة إلى أنه من الضروري تنفيذ هذا الاختراق للوصول المادي للمهاجم إلى الجهاز لأنه لا يمكن تنفيذه عن بُعد. ومع ذلك ، من المهم أن نلاحظ أنه يمكن الكشف عن موقع محفظة الأجهزة ، على سبيل المثال ، إصابة دفتر الأستاذ التي تم فيها الكشف عن البيانات من عملاء المحفظة ، والتي تتعرض للسرقة المحتملة ومحاولات الابتزاز البسيطة.
لحسن الحظ ، تم حل المشكلة الآن بسبب التواصل بين الشركتين. لجهودها ، تلقت Uniphered مبلغًا لم يكشف عنه من برنامج Bug Bounty من OneKey..