كشفت شركة ليدجر، وهي واحدة من كبرى شركات تصنيع أجهزة المحافظ، النقاب عن ثغرات أمنية في أجهزة منافستها المباشِرة تريزور، وذلك وفقًا لتقرير نُشر يوم الإثنين ١١ مارس.

 وحتى وقت كتابة المقالة، لم تكن تريزور متاحة على الفور للتعليق على نتائج ليدجر.

وتشير الدراسة إلى أنه تم العثور على الثغرات الأمنية بواسطة "أتاك لاب"، وهو قسم الشركة الذي يتسلل إلى أجهزته الخاصة وأجهزة المنافسين لتحسين الأمان. وتدعي ليدجر أنها تواصلت مع تريزور مرارًا وتكرارًا حول نقاط الضعف في محافظ تريزور ون وتريزور تي، وقررت الإعلان عنها بعد انتهاء فترة الإفصاح المسؤول.

وكانت المشكلة الأولى تتعلق بأصالة الأجهزة. فوفقًا لفريق ليدجر، يمكن تقليد جهاز تريزور عن طريق إعادة تدوير الجهاز ببرامج ضارة ثم إعادة ختمه في صندوقه عن طريق تزوير لاصق مقاوم للعبث، والذي يُقال إنه من السهل إزالته. وتنص ليدجر على أن مشكلة عدم الحصانة هذه لا يمكن معالجتها إلا من خلال إصلاح تصميم محافظ تريزور، ولا سيما عن طريق استبدال أحد المكونات الأساسية بشريحة Secure Element.

ثانيًا، قيل إن مخترقي ليدجر خمنوا قيمة رقم التعريف الشخصي على محفظة تريزور باستخدام هجوم على قناة جانبية وأبلغوا به إلى تريزور في أواخر نوفمبر ٢٠١٨. وقد حلّت الشركة لاحقًا المشكلة في تحديث البرنامج الثابت ١.٨.٠.

بينما تتكون الثغرات الثالثة والرابعة، التي تعرض ليدجر أيضًا حلها عن طريق استبدال المكون الأساسي بشريحة Secure Element، من إمكانية سرقة البيانات السرية من الجهاز. حيث تنص ليدجر على أن المهاجم الذي لديه وصول فعلي إلى تريزور ون و تريزور تي يمكنه استخراج جميع البيانات من الذاكرة المحمولة والتحكم في الأصول المخزنة على الجهاز.

ويرتبط الضعف الأخير الذي تم اكتشافه أيضًا بنموذج أمان تريزور: حيث إنه وفقًا ليدجر، لا تحتوي مكتبة العملات المشفرة في تريزور ون على إجراءات مضادة مناسبة ضد هجمات الأجهزة. كما يدعي الفريق أن أحد المخترقين الذين يتمتعون بوصول فعلي إلى الجهاز يمكنهم استخراج المفتاح السري من خلال هجوم على قناة جانبية، على الرغم من أن تريزور قد ادعت أن محافظها مقاومة له.

وفي نوفمبر ٢٠١٨، حذرت تريزور نفسها من قيام جهة خارجية غير معروفة بتوزيع نسخ فردية من جهازها الرائد تريزور ون. ويبدو أن المحافظ المزيفة نشأت من الصين، وبالتالي حثت الشركة المالكين على شراء محافظ فقط من موقع تريزور على الويب.

ومع ذلك، في التقرير الأخير، تدعي ليدجر أن المستخدمين لا يمكن أن يكونوا متأكدين حتى عندما يشترون الأجهزة من موقع تريزور الرسمي. حيث يمكن للمهاجم شراء العديد من الأجهزة، واختراقها ثم إرسالها مرة أخرى إلى الشركة المصنعة لطلب تعويض. وفي حالة بيع الجهاز المشبوه مرة أخرى، يمكن سرقة أموال المستخدم من العملات المشفرة، وفقًا ليدجر.