В Ledger сообщают, что исследование проводилось силами компании Attack Lab. Ее сотрудники, чтобы выявить все возможные уязвимости, занимаются взломом собственных и чужих кошельков. О слабых местах Trezor One и Trezor T компания не раз сообщала администрации производителя кошельков. Как только прошел срок ожидания, информация была выложена в открытый доступ.

Одна из главных проблем – аутентичность гаджетов. В Ledger утверждают, что Trezor можно взломать при помощи вирусных программ, а затем опять запечатать в коробку, выдав за новое устройство. Чтобы исправить эту ошибку, в Трезор должны полностью обновить дизайн и поработать над тем, чтобы его нельзя было подделать (например, добавить чип Secure Secure).

Кроме того, белые хакеры из Ledger подобрали пин-код к кошельку Trezor, произведя атаку через сторонний канал. Эта проблема была впоследствии решена разработчиками Трезора в версии 1.8.0.    

Еще две уязвимости в Трезоре представители Ledger предлагают убрать при помощи добавления микросхемы Secure Element. На текущий момент хакер, который получает в свои руки физическое аппаратное устройство Trezor One или Trezor T, способен «вытащить» из флешки любые данные.

Последняя уязвимость – отсутствие в криптобиблиотеке Trezor One соответствующих мероприятий против аппаратных атак. Напомним, в ноябре прошлого года сами представители компании расшарили информацию о том, что под видом их флагманского устройства продаются нелицензированные копии.