Ukrypterte nå avslører lappet sårbarhet i OneKey lommebok

Ukrypterte nå avslører lappet sårbarhet i OneKey lommebok

I en YouTube -video som ble delt på kanalen hennes, demonstrerte det uformede cybersikkerhetsteamet en kritisk sårbarhet for OneKey -brevposen som de hadde oppdaget under forskningen.

Som vanlig med den hvite hatoppdagelsen av svakheter, ble videoen publisert etter at den ble lappet.

Mangler vanlig kryptering

Ukopierte, en oppstart av cybersikkerhet, hovedfokuset for restaurering av tapte kryptoer for kunder som ikke lenger har tilgang til containerne, avdekket sannsynligvis problemet da det prøvde å få penger tilbake for en kunde. I videoen er en lomme i Onecey -lommen brutt ned og manipulert, hvorved det ukusmede teamet setter inn maskinvare som overvåker kommunikasjonen mellom CPU på lommeboken og dens sikre enhet.

Generelt sett er kommunikasjon mellom CPU og den sikre enheten - der mnemonikk og kryptografi lagres - kryptert. Dette ser imidlertid ikke ut til å være tilfelle med OneKey -lommebøker.

"Vanligvis kommunikasjonen mellom CPU, der behandlingen finner sted og det sikre elementet er kryptert. Vel, det viser seg at det i dette tilfellet ikke ble konstruert for det. Så du kan installere et verktøy i midten som overvåker kommunikasjonen og deretter setter inn sine egne kommandoer."

Bypass i fabrikkmodus

Ved å sette inn maskinvaren deres mellom CPU og den sikre enheten, var det ukabrikke teamet i stand til å få enheten til å tro at den var i fabrikkmodus, som deretter overførte mnemonics til teamet til teamet.

"Vi gjorde det det så forteller det sikre elementet at det er i fabrikkmodus og at vi kan ta ut deres mnemonics."

Dette ville ha gjort det mulig for en dårlig skuespiller som kunne ha oppdaget det svake punktet for å få tilgang til lommeboken så snart den ble satt sammen igjen.

Vårt svar på aktuelle rapporter om sikkerhetslån https://t.co/dp9nnp1d0u

Open-source Open-source Brief (@OneKeyHQ) .