Trezor Vulnerabilidad OLED

[VB1001]

Details of the OLED Vulnerability and its Mitigation

https://blog.trezor.io/details-of-the-oled-vulnerability-and-its-mitigation-d331c4e2001a

Tienen que darse una serie de circunstancias para que se vea el Trezor comprometido por esta vulnerabilidad, pero mejor actualizar el firmware como recomienda Trezor.

[1714909449]

1714909449

[1714909449]

1714909449

[1714909449]

1714909449

[womanderful]

Supongo que ante estos ataques laterales se pueden tomar dos posiciones:

• "Vale vale, todo muy teórico y tal, pero yo guardo el pincho en una caja fuerte y nadie va a poder manipularlo sin que me entere, así que bien"
• "Solo es cuestión de tiempo que alguien desarrolle un ataque realmente gordo contra estos dispositivos, y no me siento a gusto"

Lo chachi del asunto es que tenemos elección y podemos adoptar la tecnología de cold wallets con la que mejor nos sintamos. Alguien puede preferir tener uno de estos juguetes para tener los fondos en frío pero fácilmente gastables (con el inconveniente de tener que estar encima de las noticias tecnológicas e ir actualizando y todo eso) y otra persona puede preferir tener las palabras de su semilla repartidas en distintos papelitos, a salvo de ataques laterales basados en el consumo de la pantalla OLED () con la pega de que sacar el dinero de ahí sea un peñazo.

Como siempre, seguridad vs facilidad de uso.

[DdmrDdmr]

El caso realmente solo tiene atisbos de poder ser significativo en circunstancias muy concretas, casi de laboratorio. Realmente, por ahora, me preocupan poco este tipo de caso sobre hardware wallets (afecten a Trezor o Ledger, etc.).

En la actualidad, uno queda tranquilo sabiendo que a los 3 intentos fallidos de acceso, el dispositivo borra todo su contenido. Uno se imagina que alguien externo accede a este tipo de dispositivo, y que lo único que conseguirá es eliminar su contenido, dado que, sin más información, suelen tener un 0,03% de posibilidades de hacerse con su contenido.

Ahora bien, el riesgo latente, si bien pequeño en principio, es que algún día exista un procedimiento que permita a los más profesionales puentear la seguridad hardware para acceder, haciendo un bypass a la protección de la contraseña.

No obstante, si miramos nuestra seguridad en el caso de las wallets hardware, es mucho más probable que nuestra seguridad entorno a la tarjeta con las 24 palabras de recuperación sea vulnerable (escondida pero no encriptada por ejemplo).

[VB1001]

Hay que actuar con estos temas, en mi opinión, de forma simple, igual que cuando llevas tu billetera física con tu dinero dentro, no la dejas a la vista en el coche, intentas sacar dinero del cajero automático con precaución, no la dejas encima de la mesa sin control, pues con esto lo mismo, Trezor tiene algo muy bueno respecto a sus competidores y es que al mínimo atisbo de vulnerabilidad normalmente actúan rápido con las actualizaciones para estar cubiertos frente a los posibles hackeos o vulnerabilidades que se detecten por surrealistas que parezcan.

Aquí hay un dato a tener en cuenta y es seguir los pasos de seguridad que recomienda Trezor para no encontrarse en una situación así, si que es como dice DdmrDdmr y el aparato en cuestión se bloqueara, pero que pasa cuando actuamos por nuestra cuenta y por ejemplo compramos un cable USB que no sabemos de donde viene para conectar el Trezor al PC? ahí es donde puede haber el ataque, Trezor+USB+PC+Internet ya tenemos los ingredientes para que "juegen" con nuestro Trezor.

Ante la duda, mejor actualizar.