Suche
Mein Konto
A nem kifogástalan most feltárja a javított sebezhetőséget a OneKey pénztárcában
A csatornáján megosztott YouTube -videóban a nem kiberbiztonsági csapat kritikus sebezhetőségét mutatta be a kutatás során felfedezett ONEKEY levéltáska számára. Mint általában a sebezhetőségek fehér kalap felfedezésével, a videót a javítás után tették közzé. A szokásos titkosítás hiánya, a kiberbiztonsági indulás, amelynek középpontjában az a legfontosabb, hogy visszaállítsák az elveszített kriptoszokat azoknak az ügyfeleknek, akik már nem férnek hozzá pénztárcájukhoz, valószínűleg felfedte a problémát, mint megpróbált pénzt visszakapni egy ügyfél számára. A videóban egy Onecey levéltáskát bontanak és manipulálnak, amelyben a megzavarodott csapat hardvereket helyez be, hogy a CPU közötti kommunikáció ...
A nem kifogástalan most feltárja a javított sebezhetőséget a OneKey pénztárcában
A csatornáján megosztott YouTube -videóban a nem kiberbiztonsági csapat kritikus sebezhetőségét mutatta be a ONEKEY levéltáska számára, amelyet a kutatás során felfedeztek.
Mint általában a gyengeségek fehér kalap felfedezésével, a videót a javítás után tették közzé.
hiányzik a szokásos titkosítás
Anem zárható ki a kiberbiztonsági indulás, az elveszett kriptoszok helyreállításának fő hangsúlya azoknak az ügyfeleknek, akik már nem férnek hozzá a konténerekhez, valószínűleg felfedték a problémát, amikor megpróbált pénzt visszaszerezni egy ügyfél számára. A videóban egy Onecey levélzseb lebomlik és manipulálódik, amelyben a megzavarodott csapat olyan hardvereket helyez be, amelyek figyelik a pénztárca CPU és biztonságos egység közötti kommunikációt.
Általában a CPU és a biztonságos egység közötti kommunikáció - ahol a mnemonika és a kriptográfia tárolódik - titkosítva van. Úgy tűnik azonban, hogy ez nem így van a OneKey pénztárcák esetében.
"Általában a CPU közötti kommunikáció, ahol a feldolgozás zajlik, és a biztonságos elem titkosítva van. Nos, kiderül, hogy ebben az esetben nem építették fel. Így telepíthet egy olyan eszközt, amely figyelemmel kíséri a kommunikációt, majd beilleszti a saját parancsokat."
bypass gyári módban
A hardverük beillesztésével a CPU és a biztonságos egység között a megzavarodott csapat képes volt arra, hogy az eszköz úgy gondolja, hogy gyári módban volt, amely aztán átadta a mnemonikát a csapat csapatához.
"Megtettük azt, amit ezután elmondott a biztonságos elemnek, hogy gyári módban van, és ki tudjuk venni a mnemonikájukat."
Ez lehetővé tette volna egy rossz színész számára, aki felfedezte volna a gyenge pontot, hogy hozzáférjen a pénztárcához, mihelyt újra összeállították.
Válaszunk a biztonsági kölcsönökről szóló aktuális jelentésekre https://t.co/dp9nnp1d0u
Szerencsére a problémát a két vállalat közötti kommunikáció miatt oldották meg. Erőfeszítéseiért a Conthered egy nyilvánosságra nem hozott összeget kapott a Bug Bounty programból a OneKey -től.