Bitcoin Forum
August 24, 2019, 07:30:08 PM *
News: Latest Bitcoin Core release: 0.18.0 [Torrent] (New!)
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Trezor Vulnerabilidad OLED  (Read 50 times)
VB1001
Sr. Member
****
Offline Offline

Activity: 322
Merit: 829


"Four Wheel Drive"


View Profile
August 08, 2019, 05:49:57 AM
Merited by DdmrDdmr (1)
 #1

Details of the OLED Vulnerability and its Mitigation

https://blog.trezor.io/details-of-the-oled-vulnerability-and-its-mitigation-d331c4e2001a

Tienen que darse una serie de circunstancias para que se vea el Trezor comprometido por esta vulnerabilidad, pero mejor actualizar el firmware como recomienda Trezor.


1PCm7LqVkhj4xRpKNyyEeekwhc1mzK52cT
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1566675008
Hero Member
*
Offline Offline

Posts: 1566675008

View Profile Personal Message (Offline)

Ignore
1566675008
Reply with quote  #2

1566675008
Report to moderator
1566675008
Hero Member
*
Offline Offline

Posts: 1566675008

View Profile Personal Message (Offline)

Ignore
1566675008
Reply with quote  #2

1566675008
Report to moderator
womanderful
Member
**
Offline Offline

Activity: 159
Merit: 60


View Profile
August 08, 2019, 07:53:00 AM
Merited by DdmrDdmr (1)
 #2

Supongo que ante estos ataques laterales se pueden tomar dos posiciones:

  • "Vale vale, todo muy teórico y tal, pero yo guardo el pincho en una caja fuerte y nadie va a poder manipularlo sin que me entere, así que bien"
  • "Solo es cuestión de tiempo que alguien desarrolle un ataque realmente gordo contra estos dispositivos, y no me siento a gusto"

Lo chachi del asunto es que tenemos elección y podemos adoptar la tecnología de cold wallets con la que mejor nos sintamos. Alguien puede preferir tener uno de estos juguetes para tener los fondos en frío pero fácilmente gastables (con el inconveniente de tener que estar encima de las noticias tecnológicas e ir actualizando y todo eso) y otra persona puede preferir tener las palabras de su semilla repartidas en distintos papelitos, a salvo de ataques laterales basados en el consumo de la pantalla OLED (Shocked) con la pega de que sacar el dinero de ahí sea un peñazo.

Como siempre, seguridad vs facilidad de uso.
DdmrDdmr
Hero Member
*****
Offline Offline

Activity: 588
Merit: 2574

There are lies, damned lies and statistics. MTwain


View Profile WWW
August 08, 2019, 11:03:07 AM
 #3

El caso realmente solo tiene atisbos de poder ser significativo en circunstancias muy concretas, casi de laboratorio. Realmente, por ahora, me preocupan poco este tipo de caso sobre hardware wallets (afecten a Trezor o Ledger, etc.).

En la actualidad, uno queda tranquilo sabiendo que a los 3 intentos fallidos de acceso, el dispositivo borra todo su contenido. Uno se imagina que alguien externo accede a este tipo de dispositivo, y que lo único que conseguirá es eliminar su contenido, dado que, sin más información, suelen tener un 0,03% de posibilidades de hacerse con su contenido.

Ahora bien, el riesgo latente, si bien pequeño en principio, es que algún día exista un procedimiento que permita a los más profesionales puentear la seguridad hardware para acceder, haciendo un bypass a la protección de la contraseña.

No obstante, si miramos nuestra seguridad en el caso de las wallets hardware, es mucho más probable que nuestra seguridad entorno a la tarjeta con las 24 palabras de recuperación sea vulnerable (escondida pero no encriptada por ejemplo).

VB1001
Sr. Member
****
Offline Offline

Activity: 322
Merit: 829


"Four Wheel Drive"


View Profile
August 08, 2019, 02:36:03 PM
 #4

Hay que actuar con estos temas, en mi opinión, de forma simple, igual que cuando llevas tu billetera física con tu dinero dentro, no la dejas a la vista en el coche, intentas sacar dinero del cajero automático con precaución, no la dejas encima de la mesa sin control, pues con esto lo mismo, Trezor tiene algo muy bueno respecto a sus competidores y es que al mínimo atisbo de vulnerabilidad normalmente actúan rápido con las actualizaciones para estar cubiertos frente a los posibles hackeos o vulnerabilidades que se detecten por surrealistas que parezcan.

Aquí hay un dato a tener en cuenta y es seguir los pasos de seguridad que recomienda Trezor para no encontrarse en una situación así, si que es como dice DdmrDdmr y el aparato en cuestión se bloqueara, pero que pasa cuando actuamos por nuestra cuenta y por ejemplo compramos un cable USB que no sabemos de donde viene para conectar el Trezor al PC? ahí es donde puede haber el ataque, Trezor+USB+PC+Internet ya tenemos los ingredientes para que "juegen" con nuestro Trezor.

Ante la duda, mejor actualizar. Cheesy


1PCm7LqVkhj4xRpKNyyEeekwhc1mzK52cT
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!