Лазер проти Tangem: Критична вразливість у апаратних гаманцях виявлена експертами
Мої колеги з дослідницького підрозділу Ledger Donjon провели глибокий аналіз безпеки апаратних гаманців Tangem та виявили критичну вразливість. Суть атаки лякаюче проста для розуміння, але складна у виконанні: за допомогою потужного лазера зловмисник, який має фізичний доступ до карти-сховища, може скинути пароль і отримати повний контроль над усіма пов'язаними з нею цифровими активами.
На перший погляд, гаманці Tangem виглядають як звичайні банківські картки. Всередині встановлено захищений чіп Samsung із сертифікацією EAL6+, який відповідає за генерацію та зберігання ключів, а також підписання транзакцій. Майстер-ключ ніколи не покидає меж карти, а доступ до коштів захищений двома факторами: фізичним володінням карткою та знанням пароля.
Слабкою ланкою, як показав наш аналіз, стала логіка відновлення пароля. Картки продаються наборами по дві або три штуки із спільним майстер-ключем, і штатний механізм дозволяє скинути пароль за наявності двох пов'язаних карток. Саме в цій функції криється корінь проблеми.
У чому суть вразливості
У механізмі відновлення є умовна перевірка: чи знаходиться картка в режимі відновлення. Якщо так, новий пароль приймається без введення старого. Завдання атаки — «зламати» цю єдину перевірку, щоб змусити картку прийняти новий пароль без фактичного перебування в «реальному режимі» відновлення. Погіршує ситуацію те, що команда зміни пароля не має захисту від перебору. На відміну від команд аутентифікації, вона не вводить затримки або блокування після багатьох невдалих спроб, що дозволяє пробувати знову і знову.
За моєю оцінкою, скидання пароля дає зловмиснику повний контроль над гаманцем. Після цього він може підписувати будь-які транзакції та вивести всі кошти, пов'язані з карткою.
Як проводиться атака і що вона означає
Сама атака технічно складна та інвазивна. Дослідники розкривали пластиковий корпус картки скальпелем, знімали захисний екран і оголювали кремнієвий кристал чіпа, а потім перепаювали антену для стабільного живлення.
Основним методом стала лазерна ін'єкція збоїв. Вона полягає у наведенні потужного імпульсу інфрачервоного світла на конкретну точку кристала в точний момент роботи, що тимчасово змінює стан транзисторів і порушує хід програми — в даному випадку обходить потрібну перевірку. Окремою проблемою став захист самого чіпа: при виявленні втручання чіп записував дані у флеш-пам'ять, і приблизно після 256 таких подій картки виходили з ладу без можливості відновлення. Щоб обійти це, команда навчилася в реальному часі відстежувати запис і вимикати живлення до його завершення.
Важливо підкреслити: вимкнення функції відновлення пароля не рятує. Це налаштування лише блокує одну з команд легального відновлення, тоді як сама атака її не використовує, а б'є безпосередньо по перевірці стану.
Разом з тим, компанія справедливо зазначає високий поріг для реалізації. Атака вимагає фізичного доступу до картки, спеціалізованого лабораторного обладнання вартістю близько $250 000 та глибокої експертизи в апаратній безпеці. При цьому на підготовленій моделі вона давала стовідсоткову відтворюваність, а кожна нова спроба займала близько двох годин.
Мій аналіз: Ця знахідка — не привід для паніки, але серйозний дзвінок для індустрії. Вона демонструє, що навіть сертифіковані чіпи найвищого рівня захисту (EAL6+) вразливі перед фізичними атаками, якщо програмна логіка їх використання має вади. Ключовий висновок для користувачів Tangem: патча не існує, але реальний ризик виникає лише при втраті або крадіжці картки. Якщо вона залишається у власника, описаний сценарій неможливий. Зберігайте свої картки так само дбайливо, як готівку в гаманці, і використовуйте додаткові заходи безпеки, такі як мультипідпис або апаратні гаманці з PIN-кодом та seed-фразою.