<?php wp_title('|', true, 'right'); ?>

Ledger หักหน้าคู่แข่ง Trezor ด้วยการออกมาชี้จุดอ่อนด้านความปลอดภัยภายในตัว hardware wallet

การต่อสู้ซึ่งเกี่ยวกับอุปกรณ์วอลเลต์ Wallets ดูเหมือนว่ากำลังจะประทุในเร็ววันนี้ ซึ่งเมื่อเสาร์อาทิตย์ที่ผ่านมา ณ งาน MIT Bitcoin Expo ในเมืองบอสตัน ประเทศสหรัฐอมเริกา นาย Charles Guillmet ผู้ซึ่งเป็นประธานฝ่ายความปลอดภัยของบริษัท Ledger ได้ออกมากกล่าวถึงจำนวนของการโจมตีทางกายภาพที่เกิดขึ้นซึ่งสามารถที่จะส่งผลต่ออุปกรณ์ wallet ของ Trezor ได้ เขายังได้กล่าวถึงการโจมตีดังกล่าวที่เกิดขึ้นกับอุปกรณ์ของคู่แข่งว่า Ledger เองได้ตัดสินใจที่จะไม่ทำให้เรื่องดังกล่าวต้องออกสื่อ เนื่องจากกรณีดังกล่าวไม่สามารถออกแพทช์สำหรับอัเดทแก้ไขได้

ประธานฝ่ายความปลอดภัยของบริษัท Ledger กำลังพยายามรุมทึ้ง Trezor

เช่นเดียวกับผู้ผลิตอุปกรณ์ wallet (HW) ที่มีชื่อเสียงเจ้าอื่นๆ Ledger นั้นได้ดำเนินการตรวจสอบจุดอ่อนหรือช่องโหว่ของระบบอย่างจริงจังเพื่อหาข้อผิดพลาดที่อาจจะเกิดขึ้นได้ในอนาคตแก่อุปกรณ์ของตนเอง โดยห้องแลปบริษัทเจาะระบบของฝรั่งเศษซึ่งรู้จักกันในนาม “Ledger Donjon,” ไม่เพียงแต่ดำเนินการทดลองกับตัวอย่างของตัวเองเท่านั้น แต่ยังได้มุ่งเป้าในการโจมตีคู่แข่งที่สำคัญอย่าง Trezor ด้วย และแม้ว่าการค้นหาและเปิดเผยจุดอ่อนของคู่แข่งนั้นดูเหมือนจะเป็นการไม่ชอบนัก แต่พวกเค้าได้กล่าวถึงผลประโยชน์ที่เกิดขึ้นจากการทำให้จุดอ่อนดังกล่าวนั้นเป็นที่ชัดเจนขึ้นมานั้น จะเป็นการเน้นย้ำถึงทักษะความสามารถของบริษัท Ledger อีกด้วย

ภายในไม่กี่ชั่วโมงหลังจากประธานฝ่ายความปลอดภัยของบริษัท Ledger คือนาย Charles Guillmet ได้ปรากฏตัวในงาน MIT Bitcoin Expo 2019 ซึ่งเค้าได้กล่าวถึงอุปกรณ์ต่างๆเช่น Trezor One, Trezor T, Keepkey, และ B Wallet ว่าเป็นอุปกรณ์ที่ “ล้มเหลวอย่างสิ้นเชิง” โดยได้ยืนยันว่าปัญหาดังกล่าวไม่สามารถถูกแก้ไขได้แต่อย่างใด โดยบริษัทได้เผยแพร่บทความเรื่อง “Our Shared Security: Responsibly Disclosing Competitor Vulnerabilities.” : ซึ่งได้อธิบายว่า “ทางบริษัทได้ดำเนินการติดต่อกับ Trezor เมื่อสี่เดือนก่อนเพื่อแลกเปลี่ยนข้อมูลเรื่องจุดอ่อนที่ทางห้องแลปของบริษัทค้นพบ อีกทั้งยังได้กำหนดช่วงเวลาเปิดเผยข้อมูลที่เหมาะสมให้แก่ Trezor ในการแก้ไขข้อบกพร่องเหล่านี้แล้ว นอกจากนั้นยังได้ขยายเวลาให้พวกเขาอีกถึงสองเดือนด้วย”

และเมื่อช่วงเวลาที่บริษัทกำหนดให้ Trezor นั้นได้หมดลงแล้ว บริษัท ledger จึงมีความยินดีเป็นอย่างยิ่งในการเปิดเผยสิ่งที่ตนเองค้นพบจากการดำเนินการตรวจสอบหาข้อบกพร่องบนอุปกรณ์ของคู่แข่งดังกล่าว

จุดอ่อนทั้งสี่อย่างที่ถูกเปิดเผยอย่างหมดเปลือก

กล่าวโดยรวมแล้ว Ledger ได้อ้าวว่าตนพบจุดอ่อนหลักทั้งหมดสี่จุดในอุปกรณ์wallet ที่เป็นเรือธงของ Trezor  โดยจุดอ่อนอย่างแรกนั้นเป็นปัญหาที่เกี่ยวกับอุปกรณ์ปลอมที่เกิดขึ้นในตลาด ซึ่ง wallet ของ Trezor นั้นได้แสดงให้เห็นแล้วว่าตัวอุปกรณ์นั้นมีแนวโน้มที่จะถูกเลียนแบบได้ ผลักดันให้บริษัทต้องเร่งที่จะพัฒนาสติกเกอร์ป้องการการปลอมแปลงใหม่ รวมถึงการนำเสนอข้อมูลแก่ผู้บริโภคในการตรวจสอบผลิตภัณฑ์ปลอม ซึ่งบริษัท Trezor ได้มีการกล่าวตอบถึงจุดอ่อนดังกล่าวในทางที่เป็นประโยชน์ต่อตนเองว่า ผู้ซื้อจะไม่ต้องกังวลกับความเสี่ยงที่จะเกิดขึ้นหากได้ซื้อสินค้าจากเว็บไซต์ของบริษัทโดยตรง

Trezor ปลอมด้านซ้าย วางคู่กับ Trezor ของแท้ด้านขวา

จุดอ่อนต่อไปคือข้อบกพร่องที่เกิดกับหมายเลข PIN หรือ PIN number ของอุปกรณ์ โดย Ledger ได้กล่าวว่า “ในกรณีอุปกรณ์ที่ถูกพบเจอหรือที่ถูกขโมย กรณีในการคาดเดารหัส PINนั้นสามารถเกิดขึ้นได้โดยอาศัยวิธี Side Channel Attack”  ซึ่งเป็นวิธีการที่อาศัยการใส่รหัสแบบสุ่มและวัดค่าของอัตรการใช้พลังงานของอุปกรณ์เมื่อเปรียบเทียบกับรหัสที่แท้จริง ซื่งทางบริษัท Ledger ยังได้กล่าวอีกว่า “การดำเนินการด้วยวิธีดังกล่าวนั้นทำให้ผู้โจมตีอุปกรณ์นั้นสามารถเข้าถึงรหัสที่แท้จริงได้ด้วยความพยายามเพียงไม่กี่ครั้งเท่านั้น (น้อยกว่า 5 ครั้งตามที่บริษัทได้ทดลอง)” Ledger กล่าวในตอนท้ายว่า “เราค้นพบว่ามาตรการรหัส PIN นั้นไม่สามารถปกป้องเจ้าของเงินจากผู้ซึ่งโจมตี Wallet ด้วยวิธีทางกายภาพต่ออุปกรณ์ได้”

สองจุดอ่อนสุดท้ายนั้นเกี่ยวข้องกับความเป็นส่วนตัวของข้อมูลซึ่งถูกเก็บไว้ในอุปกรณ์ โดยเฉพาะตัว KEY และ SEED โดยสิ่งสำคัญในกรณีนี้คือหน่วยความจำประเภทแฟลช ซึ่ง Ledger ได้กล่าวว่า “ข้อมูลเหล่านี้สามารถหลุดออกมาได้จากหน่วยความจำดังกล่าวโดยอาศัยการแยกชิ้นส่วนของอุปกรณ์เช่น Trezor One หรือ Trezor T และนำชิ้นส่วนใหม่รวมเข้ากับส่วนเก็บข้อมูลสำคัญหรือ Secure Element chip เพื่อแทนที่ส่วนเก็บข้อมูลเดิมหรือ general purpose chip ซึ่งมีการใช้งานอยู่ ” อีกทั้งยังได้กล่าวต่อไปอีกว่า

“จุดอ่อนนี้เป็นไปไม่ได้เลยที่จะได้รับการแก้ไขด้วยการอัพเดทแพทช์ และด้วยเหตุผลนี้เองพวกเราถึงเลือกที่จะไม่เปิดเผยข้อมูลทางเทคนิค อย่างไรก็ตามผู้ใช้ยังคงสามารถที่จะแก้ไขปัญหาเบื้องต้น โดยการเพิ่มรหัสที่ซับซ้อนและแข็งแรงแก่อุปกรณ์ของตนเองได้ ”

อย่างไรก็ตามจุดอ่อนที่ห้าซึ่งไม่ร้ายแรงเท่าจุดอ่อนที่ผ่านมาได้ถูกเปิดเผยเช่นเดียวกัน โดย Trezor ได้ปล่อยเฟิร์มแวร์อัพเดทด้านความปลอดภัยไปเมื่อสัปดาห์ที่แล้ว ซึ่งจัวอัพเดทดังกล่าวอันเป็นผลมาจากการเปิดเผยของ Charles Guillemet และ ทีมงาน Donjon team ของบริษัท Ledger โดยอัพเดทนั้นได้มีการอ้าวว่าการใช้ประโยชน์จากจุดอ่อนดังกล่าวต้องอาศัยการเข้าถึงทางกายภาพต่ออุปกรณ์ อีกยังในปัจจุบันยังไม่มีหลักฐานใดที่แสดงว่า “จุดอ่อนเหล่านี้ได้ถูกใช้ประโยชน์นอกห้องทดลองเพื่อการเข้าถึงข้อมูลในอุปกรณ์แต่อย่างใด” และในสัปดาห์ที่ผ่านมานาย Jack Dorsey ประธานบริษัท Twitter and Square ได้เปิดเผยอีกว่าเค้าได้ทำการซื้ออุปกรณ์ wallet ของ Trezor เป็นที่เรียบร้อยแล้ว

ที่มา : Bitcoin.com