El productor de swaps de criptomonedas y billetera de hardware ShapeShift abordó las recientes denuncias de vulnerabilidad de la billetera de hardware KeepKey.

ShapeShift respondió a una supuesta vulnerabilidad presentada a través de su programa de divulgación responsable en una publicación de Medium, publicada el 4 de agosto. Según el anuncio, la empresa recibió un informe de vulnerabilidad a través del programa el 1 de mayo, que describía lo que los investigadores creían que era una vulnerabilidad de hardware.

La supuesta vulnerabilidad permitiría a un atacante leer lo que estaba en la pantalla de la billetera al monitorear las fluctuaciones de energía en la pantalla en lo que se conoce como un ataque de canal lateral. Si los atacantes estuvieran monitoreando los niveles de potencia mientras se mostraba información confidencial en la pantalla, esto aparentemente les daría la oportunidad de robar fondos del dispositivo.

La "vulnerabilidad" no es práctica

ShapeShift señala que, para obtener acceso a la información confidencial que se muestra en la pantalla, un atacante necesitaría tener acceso físico al dispositivo y controlar con precisión el consumo de energía de KeepKey con un oscilómetro (o un instrumento similar) a medida que se muestra la información.

ShapeShift explica que, dado que esta supuesta vulnerabilidad requeriría acceso físico, habría una forma más sencilla de adquirir la información:

"En comparación, sería mucho más fácil robar la Frase de Recuperación de alguien simplemente mirando por encima del hombro mientras configuran su KeepKey o instalando una cámara oculta en la habitación en la que se está inicializando".

ShapeShift afirma que un ataque de canal lateral requeriría acceso físico, equipo especializado, habilidades de hardware y análisis estadístico de los datos para derivar los contenidos que se muestran basándose únicamente en el consumo de energía de la pantalla. Además, afirma que, incluso si se cumplieran todos esos requisitos, aún sería muy difícil interpretar los datos:

“Debido a la pantalla más grande en KeepKey, se muestran varias palabras de Frase de Recuperación a la vez. Esto hace que sea mucho más difícil identificar palabras individuales (y el orden de las palabras) en función del poder utilizado por la pantalla".

Tal como informó Cointelegraph en marzo, el principal fabricante de billeteras de hardware Ledger reveló vulnerabilidades en los dispositivos de su competidor directo Trezor. Trezor respondió afirmando que ninguna de las debilidades reveladas por Ledger en su informe son críticas.

Sigue leyendo: