[[254855]]

最近，一組安全研究人員為我們展示了某些加密貨幣硬件錢(qián)包的安全性是何等的脆弱。其中，這些專(zhuān)家針對(duì)Trezor One、Ledger Nano S和Ledger Blue進(jìn)行了供應(yīng)鏈攻擊和側(cè)信道攻擊方面的安全測(cè)試，發(fā)現(xiàn)其中存在芯片和固件級(jí)的安全漏洞。

實(shí)際上，這項(xiàng)研究工作是Dmitry Nedospasov、Thomas Roth和AD Josh Datko于今年6月著手進(jìn)行的，最終，他們找到了多種可以突破目標(biāo)加密貨幣錢(qián)包的安全防線(xiàn)的攻擊方法。

他們?cè)贑haos Communication Congress大會(huì)上，展示了相關(guān)的攻擊手法，例如在這些設(shè)備到達(dá)最終用戶(hù)手中之前對(duì)其進(jìn)行篡改，或直接用“贗品”替換它們。

真的是原包裝嗎?

供應(yīng)商通常會(huì)在錢(qián)包包裝盒或設(shè)備本身的外殼上面貼上一張"封條"，以作為安全標(biāo)簽。一張完好無(wú)損的貼紙可以保證沒(méi)有人能接觸到該錢(qián)包及其電子元件。

然而，Josh Datko卻證明，對(duì)于善于使用吹風(fēng)機(jī)的攻擊者來(lái)說(shuō)，突破這種防篡改的防線(xiàn)簡(jiǎn)直是小菜一碟，只要他們多加小心，并且不要使用高溫即可。

Datko為我們演示了如何從Trezor One Box和Trezor T的USB端口上完好無(wú)損的揭下標(biāo)簽。他說(shuō)，標(biāo)簽脫落時(shí)，基本上沒(méi)有任何殘留物，即使留下了部分膠水的印記，也可以用電子設(shè)備專(zhuān)用的液體來(lái)進(jìn)行清洗。

[[254856]]

此外，Ledger的設(shè)備根本就沒(méi)有提供防篡改密封件，因?yàn)槊看瓮姸紩?huì)進(jìn)行完整性檢查。同時(shí)，相關(guān)的供應(yīng)商還說(shuō)，“安全元件”芯片“能夠阻止所有攔截或物理替換的行為。

”在繞過(guò)安全貼紙這道防線(xiàn)后，Datko開(kāi)始打開(kāi)錢(qián)包的外殼，這一步也不是什么難事，拆開(kāi)后，就可以訪(fǎng)問(wèn)內(nèi)部硬件組件了。

[[254857]]

研究人員說(shuō)，對(duì)于Trezor錢(qián)包來(lái)說(shuō)，甚至可以替換其微控制器。“一旦在Trezor設(shè)備上完成了上面的操作，就可以將做過(guò)手腳的bootloader植入其中。”雖然他沒(méi)有具體演示這一過(guò)程，但告訴觀眾，他能夠通過(guò)連接硬件調(diào)試器，從而自由訪(fǎng)問(wèn)芯片，因此，攻擊者可以用惡意代碼來(lái)刷新組件。

除此之外，Datko還進(jìn)行了更深入的探索：在一個(gè)裝有廉價(jià)硬件植入物的Ledger錢(qián)包上做了手腳，這樣，他就可以在無(wú)需用戶(hù)交互的情況下核準(zhǔn)交易了。

只需花費(fèi)3.16美元，借助一個(gè)射頻(目前，至少有1100萬(wàn)種帶有50瓦的發(fā)射器)遠(yuǎn)程觸發(fā)的開(kāi)關(guān)，就能將這件事情搞定。盡管已經(jīng)遭到了篡改，Ledger錢(qián)包仍然順利通過(guò)了Windows平臺(tái)上的原裝測(cè)試。

[[254858]]

Ledger Nano S的bootloader的漏洞

在軟件方面，研究人員對(duì)固件升級(jí)過(guò)程進(jìn)行了逆向分析，發(fā)現(xiàn)了一個(gè)允許攻擊者在設(shè)備上編寫(xiě)自定義固件的安全漏洞。

實(shí)際上，供應(yīng)商已經(jīng)為boot命令添加了一些保護(hù)措施，即使用加密函數(shù)來(lái)檢測(cè)固件映像的合法性。如果驗(yàn)證得以通過(guò)，則將常數(shù)0xF00BABE寫(xiě)入一個(gè)存儲(chǔ)地址。

不過(guò)，該檢查只會(huì)執(zhí)行一次，也就是說(shuō)，并非在每次設(shè)備啟動(dòng)時(shí)都會(huì)進(jìn)行這項(xiàng)安全檢查。所以，這里的目標(biāo)是將常數(shù)0xF00BABE寫(xiě)入特定的地址。

事實(shí)證明，Ledger的硬件錢(qián)包為了防止意外燒寫(xiě)bootloader，已經(jīng)將整個(gè)內(nèi)存區(qū)域列入黑名單，這是作為一項(xiàng)保護(hù)措施提供的。然而，研究人員卻可以利用這一點(diǎn)，將相應(yīng)的常數(shù)寫(xiě)到一個(gè)未被排除在外的地址，并進(jìn)一步將其映射到可接受的地址。為了證明上述攻擊的可行性，研究人員將游戲Snake的某個(gè)版本燒寫(xiě)到了芯片中，并能借助該設(shè)備的兩個(gè)按鈕來(lái)控制小蛇在微型顯示器上移動(dòng)。

[[254859]]

針對(duì)Ledger Blue的側(cè)信道攻擊

通過(guò)考察Ledger Blue的內(nèi)部結(jié)構(gòu)，Thomas Roth發(fā)現(xiàn)，該設(shè)備上安裝了一根長(zhǎng)長(zhǎng)的導(dǎo)線(xiàn)，用于把信號(hào)傳到屏幕上。此外，它還會(huì)充當(dāng)天線(xiàn)，當(dāng)設(shè)備連接到USB電纜時(shí)，它的信號(hào)就會(huì)被放大。

使用軟件定義的無(wú)線(xiàn)電設(shè)備，人們可以捕獲無(wú)線(xiàn)電波，并分析其模式，從而破解發(fā)送到屏幕上的內(nèi)容。

[[254860]]

Roth創(chuàng)建了一個(gè)框架，通過(guò)在屏幕上輸入PIN數(shù)字來(lái)自動(dòng)記錄訓(xùn)練信號(hào)，并使用人工智能模型將其轉(zhuǎn)換為實(shí)時(shí)的信息。實(shí)驗(yàn)結(jié)果表明，其準(zhǔn)確率較高，能達(dá)90%以上，僅有1例預(yù)測(cè)錯(cuò)誤。

Trezor One錢(qián)包中的芯片級(jí)漏洞

Trezor One錢(qián)包的相關(guān)操作都由一個(gè)微控制器(STM32F205)來(lái)控制的，不過(guò)，在2017年，人們發(fā)現(xiàn)該控制器存在故障注入漏洞。

去年，Datko還無(wú)法確定是否可以通過(guò)故障注入漏洞來(lái)攻擊Trezor，但在CCC會(huì)議上，卻提出了不同的結(jié)論。

通過(guò)觀察引導(dǎo)過(guò)程和升級(jí)過(guò)程，該研究小組的成員發(fā)現(xiàn)了一種從隨機(jī)存取存儲(chǔ)器(RAM)中提取種子密鑰或私鑰的方法，該私鑰的作用是提供對(duì)加密貨幣現(xiàn)金的訪(fǎng)問(wèn)權(quán)限，并允許將它們轉(zhuǎn)移到其他錢(qián)包。

Trezor One會(huì)對(duì)數(shù)據(jù)進(jìn)行備份，其中包括私鑰，并將其復(fù)制到RAM中。研究人員的攻擊手法是啟動(dòng)固件升級(jí)程序，并在RAM被清除之前停止升級(jí)。這樣，通過(guò)查看RAM的內(nèi)容轉(zhuǎn)儲(chǔ)，就能找到相應(yīng)的種子字(seed words)和PIN號(hào)(PIN number)了。