Ledger encuentra fallas de seguridad en los modelos Trezor Safe 3 y Safe 5

Las últimas billeteras de hardware de Trezor, The Safe 3 y Safe 5, tienen algunos problemas de seguridad serios, según un informe de Ledger que se publicó el 12 de marzo.

El informe dijo que su equipo de investigación de seguridad, Ledger Donjon, descubrió que estos dispositivos tenían un montón de vulnerabilidades en sus microcontroladores que podrían permitir a los piratas informáticos obtener acceso remoto a los fondos de los usuarios.

Los defectos vienen a pesar de la actualización de Trezor a un diseño de dos chips que incluye un elemento seguro certificado EAL6+. Mientras que el elemento seguro protege los pines y las claves privadas, el informe de Ledger revela que todas las operaciones criptográficas todavía se realizan en el microcontrolador, que es vulnerable a los ataques de falla de voltaje.

Si se explotan, un atacante podríatracsecretos criptográficos, modificar el firmware y evitar las verificaciones de seguridad, dejando en riesgo los fondos del usuario.

El nuevo diseño de seguridad de Trezor no puede proteger las operaciones críticas

Trezor lanzó el Safe 3 a fines de 2023, seguido de la SAFE 5 a mediados de 2024, y ambas billeteras introdujeron un diseño mejorado de dos chips, en esfuerzos para alejarse de la arquitectura de un solo chip utilizado en modelos de Trezor más antiguos.

La actualización también agregó un elemento Optiga Trust M Secure de Infineon, que será un chip de seguridad dedicado para almacenar pines y secretos criptográficos.

Según los hallazgos de Ledger, este elemento seguro evita el acceso a datos confidenciales a menos que se ingrese el PIN correcto. También bloquea ataques de hardware como fallas de voltaje, que anteriormente se usaban para realizar trac de semillas de modelos como Trezor One y Trezor T.

Pero a pesar de estas mejoras, la investigación de Ledger Donjon muestra que las principales funciones criptográficas, incluida la firma de transacciones, todavía ocurren en el microcontrolador, lo que sigue siendo una gran debilidad de seguridad.

El microcontrolador utilizado en Safe 3 y Safe 5 está etiquetado TRZ32F429, que en realidad es un chip STM32F429 personalizado.

Este chip tiene vulnerabilidades conocidas, específicamente las exploits de fallas de voltaje que permiten a los atacantes obtener acceso completo a la lectura/escritura a la memoria flash.

Una vez que un atacante modifica el firmware, podría manipular la generación de entropía, lo que juega un papel clave en la seguridad criptográfica. Esto podría conducir a un robo remoto de claves privadas, dando a los piratas informáticos acceso completo a los fondos de los usuarios.

El sistema de autenticación no puede verificar la integridad del microcontrolador

Trezor utiliza la autenticación criptográfica para verificar sus dispositivos, pero Ledger Donjon descubrió que este sistema no verifica el firmware del microcontrolador.

El elemento Optiga Trust M Secure genera un par de claves público-privado durante la producción, y Trezor firma la clave pública, incrustándola en un certificado. Cuando un usuario conecta su billetera, Trezor Suite envía un desafío aleatorio que el dispositivo debe firmar usando su clave privada. Si la firma es válida, el dispositivo se considera auténtico.

Pero la investigación de Ledger muestra que este proceso solo verifica el elemento seguro, no el microcontrolador o su firmware.

Trezor intentó vincular el elemento seguro y el microcontrolador utilizando un secreto precominado, que se programa en ambas chips durante la fabricación. El elemento seguro solo responderá a las solicitudes de firma si el microcontrolador demuestra el conocimiento de este secreto.

El problema? Este secreto previo al intercambio se almacena en la memoria flash del microcontrolador, que es vulnerable a los ataques de falla de voltaje.

El equipo de Ledger pudotracel secreto, reprogramar el chip y evitar el proceso de autenticación por completo. Esto significa que un atacante podría modificar el firmware mientras pasa las controles de seguridad de Trezor.

El informe de Ledger describe cómo construyeron un tablero de ataque personalizado, lo que les permitió romper las almohadillas de TRZ32F429 en encabezados estándar.

Esta configuración les permite montar el microcontrolador en su sistema de ataque,tracel secreto previo al intercambio y reprogramar el dispositivo sin detección.

Una vez reprogramado, el dispositivo aún parecería legítimo cuando se conecte a Trezor Suite ya que el sistema de certificación criptográfica permanece sin cambios.

Esto crea una situación peligrosa, donde las billeteras comprometidas de Trezor Safe 3 y Safe 5 podrían venderse como dispositivos genuinos, mientras se ejecutan en secreto un firmware malicioso que roba fondos de los usuarios.

Se omite la validación de firmware, dejando a los usuarios expuestos

Trezor incluye una verificación de integridad de firmware en Trezor Suite, pero Ledger Donjon encontró una manera de evitar por completo esta protección.

La verificación del firmware funciona enviando un desafío aleatorio al dispositivo, que luego calcula un hash criptográfico utilizando tanto el desafío como su firmware. Trezor Suite verifica este hash en una base de datos de versiones de firmware genuinas.

A primera vista, este método parece un poco efectivo: un atacante no puede solo codificar un hash falso porque no conocerían el desafío aleatorio de antemano, por lo que el dispositivo debe calcular el hash en tiempo real, lo que demuestra que está ejecutando un firmware genuino.

Sin embargo, el libro mayor Donjon descubrió una forma de evitar completamente esta protección. Dado que el microcontrolador maneja este cálculo, un atacante puede modificar su firmware para fingir una respuesta válida.

Al manipular cómo el dispositivo calcula el hash, el atacante puede hacer que cualquier versión de firmware parezca auténtica. Este es un problema grave porque permite a los atacantes ejecutar un software modificado mientras pasan las verificaciones de verificación de Trezor Suite.

Como resultado, un Trezor Safe 3 o Safe 5 comprometido podría parecer legítimo mientras filtraba las claves privadas en secreto o altera los datos de transacciones.

El informe de Ledger concluye que la única forma de asegurar completamente el Safe 3 y Safe 5 sería reemplazar el microcontrolador con una alternativa más segura. El Trezor Safe 5 incluye un microcontrolador más moderno, el STM32U5, que no tiene ataques de inyección de fallas conocidos públicamente, al menos por ahora.

Pero dado que sigue siendo un microcontrolador estándar, no un elemento seguro dedicado, el riesgo sigue siendo que se puedan descubrir nuevos métodos de ataque.

Trezor ya ha parcheado las vulnerabilidades, pero las preocupaciones de seguridad subyacentes permanecen. Hasta que el microcontrolador esté completamente asegurado, los usuarios tendrán que confiar en las protecciones de software de Trezor, que la investigación de Ledger Donjon ya ha demostrado que se puede pasar por alto.

Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora