Niet -cijfer onthult nu gepatchte kwetsbaarheid in OneKey -portemonnee

In einem YouTube-Video, das auf ihrem Kanal geteilt wurde, demonstrierte das Cybersicherheitsteam von Unciphered eine kritische Sicherheitslücke für die OneKey-Brieftasche, die sie während der Recherche entdeckt hatten. Wie bei der White-Hat-Entdeckung von Schwachstellen üblich, wurde das Video veröffentlicht, nachdem es gepatcht wurde. Fehlende übliche Verschlüsselung Unciphered, ein Cybersicherheits-Startup, dessen Hauptaugenmerk auf der Wiederherstellung verlorener Kryptos für Kunden liegt, die keinen Zugriff mehr auf ihre Brieftaschen haben, hat das Problem vermutlich aufgedeckt, als es versuchte, Gelder für einen Kunden zurückzuerhalten. In dem Video wird eine OneKey-Brieftasche zerlegt und manipuliert, wobei das Unciphered-Team eine Hardware einfügt, die die Kommunikation zwischen der CPU …
In een YouTube -video die op haar kanaal was verdeeld, demonstreerde het niet -gecertificeerde cyberbeveiligingsteam een kritieke kwetsbaarheid voor de OneKey -lettertas die ze tijdens het onderzoek hadden ontdekt. Zoals gebruikelijk met de witte-hat ontdekking van kwetsbaarheden, werd de video gepubliceerd nadat deze was gepatcht. Het missen van de gebruikelijke codering niet -gecodeerd, een cyberbeveiligingsstartup, waarvan de belangrijkste focus is om verloren crypto's te herstellen voor klanten die geen toegang meer hebben tot hun portemonnee, heeft het probleem waarschijnlijk ontdekt dan geprobeerd om geld terug te krijgen voor een klant. In de video wordt een OneCey -lettertas opgesplitst en gemanipuleerd, waarbij het niet -gecodeerde team hardware invoegt dat de communicatie tussen de CPU ...
Krypto News Österreich
Artikel als PDF
Kommentare
Diesen Artikel teilen:
Facebook X Whatsapp Email

In een YouTube -video die op haar kanaal werd gedeeld, demonstreerde het niet -gecertificeerde cyberbeveiligingsteam een kritieke kwetsbaarheid voor de OneKey -lettertas die ze tijdens het onderzoek hadden ontdekt.

Zoals gewoonlijk met de witte-hat ontdekking van zwakke punten, werd de video gepubliceerd nadat deze was gepatcht.

Missing gebruikelijke codering

Niet -cijfer, een cyberbeveiligingsstartup, de belangrijkste focus van het herstel van verloren crypto's voor klanten die geen toegang meer hebben tot hun containers, ontdekten waarschijnlijk het probleem toen het probeerde geld terug te krijgen voor een klant. In de video wordt een OneCey Letter Pocket opgesplitst en gemanipuleerd, waarbij het niet -gecodeerde team hardware invoegt die de communicatie tussen de CPU van de portemonnee en de beveiligde eenheid bewaakt.

In het algemeen wordt communicatie tussen de CPU en de veilige eenheid - waar mnemonics en cryptografie worden opgeslagen - gecodeerd. Dit lijkt echter niet het geval te zijn met OneKey -portefeuilles.

"Meestal de communicatie tussen de CPU, waar de verwerking plaatsvindt en het beveiligde element wordt gecodeerd. Wel, het blijkt dat het in dit geval er niet voor is geconstrueerd. Dus je zou een hulpmiddel in het midden kunnen installeren die communicatie bewaakt en vervolgens zijn eigen commando's invoegt."

bypass in de fabrieksmodus

Door hun hardware tussen de CPU en de veilige eenheid in te voegen, kon het niet -gecodeerde team het apparaat laten geloven dat het in de fabrieksmodus was, die vervolgens de mnemonics overbracht naar het team van het team.

"We hebben gedaan wat het vervolgens het beveiligde element vertelt dat het in de fabrieksmodus is en dat we hun mnemonics kunnen verwijderen."

Dit zou het mogelijk hebben gemaakt voor een slechte acteur die het zwakke punt had kunnen ontdekken om toegang tot de portemonnee te krijgen zodra deze opnieuw werd samengesteld.

Ons antwoord op huidige rapporten over beveiligingsleningen https://t.co/dp9nnp1d0u

-OneKey open-source korte tas (@onEKEHQ) 10. Het is vermeldenswaard dat het nodig zou zijn geweest voor de implementatie van deze hack om een aanvaller fysieke toegang tot het apparaat te hebben, omdat deze niet op afstand kon worden uitgevoerd. Desalniettemin is het belangrijk op te merken dat de locatie van een hardware-portemonnee kan worden bekendgemaakt, bijvoorbeeld het grootboekletsel waarin de gegevens van de portemonnee-klanten zijn bekendgemaakt, die worden blootgesteld aan potentiële diefstallen en eenvoudige afpersingspogingen.

Gelukkig is het probleem nu opgelost vanwege communicatie tussen de twee bedrijven. Voor haar inspanningen ontving Unciphered een niet bekendgemaakt bedrag van het Bug Bounty -programma van OneKey.

.

Krypto News Österreich
Artikel als PDF
Kommentare
Diesen Artikel teilen:
Facebook X Whatsapp Email
In einem YouTube-Video, das auf ihrem Kanal geteilt wurde, demonstrierte das Cybersicherheitsteam von Unciphered eine kritische Sicherheitslücke für die OneKey-Brieftasche, die sie während der Recherche entdeckt hatten. Wie bei der White-Hat-Entdeckung von Schwachstellen üblich, wurde das Video veröffentlicht, nachdem es gepatcht wurde. Fehlende übliche Verschlüsselung Unciphered, ein Cybersicherheits-Startup, dessen Hauptaugenmerk auf der Wiederherstellung verlorener Kryptos für Kunden liegt, die keinen Zugriff mehr auf ihre Brieftaschen haben, hat das Problem vermutlich aufgedeckt, als es versuchte, Gelder für einen Kunden zurückzuerhalten. In dem Video wird eine OneKey-Brieftasche zerlegt und manipuliert, wobei das Unciphered-Team eine Hardware einfügt, die die Kommunikation zwischen der CPU …
In een YouTube -video die op haar kanaal was verdeeld, demonstreerde het niet -gecertificeerde cyberbeveiligingsteam een kritieke kwetsbaarheid voor de OneKey -lettertas die ze tijdens het onderzoek hadden ontdekt. Zoals gebruikelijk met de witte-hat ontdekking van kwetsbaarheden, werd de video gepubliceerd nadat deze was gepatcht. Het missen van de gebruikelijke codering niet -gecodeerd, een cyberbeveiligingsstartup, waarvan de belangrijkste focus is om verloren crypto's te herstellen voor klanten die geen toegang meer hebben tot hun portemonnee, heeft het probleem waarschijnlijk ontdekt dan geprobeerd om geld terug te krijgen voor een klant. In de video wordt een OneCey -lettertas opgesplitst en gemanipuleerd, waarbij het niet -gecodeerde team hardware invoegt dat de communicatie tussen de CPU ...

Kommentare (0)