Технический директор компании ledger Чарльз Гийем рассказал о лучших примерах обеспечения безопасности пользователей криптовалют.
Ledger — крупный производитель аппаратных кошельков, которые позволяют хранить криптовалюты на отдельном устройстве. Как объяснил Гийем, аппаратные кошельки защищают от вредоносного ПО на компьютере пользователя или его мобильном устройстве. Хранение и подпись транзакций выполняются на кошельке, что гарантирует, что пароли для восстановления никогда не будет считываться устройством, к которому оно подключено.
Аппаратный кошелёк Ledger использует микросхему, основанную на технологии Secure Element, которая считается практически идеальной защитой от физического воздействия.
Недавние шаги Samsung по интеграции аналогичной технологии в свои телефоны с поддержкой блокчейна обещают сделать смартфоны такими же безопасными, как и аппаратные кошельки, но Гийем предупреждает, что они не смогут решить все проблемы.
Гийем заявил, что производители должны использовать аппаратное обеспечение, чтобы сделать хранение криптовалют более безопасным. Это возможно за счёт использования технологии, называемой интегрированным защищенным элементом:
С точки зрения хранения нет никаких возражений. Пароли для восстановления доступа находятся внутри этого защищённого элемента, которое сравнимо с защищённым элементом, который можно найти в Ledger Nano S.
Но ситуация меняется, когда безопасный элемент должен быть разблокирован для совершения транзакции. Проблема заключается в дисплее телефона — android не даёт никаких гарантий, что отображаемые на нём данные будут точными. Эта функция называется «Доверенный дисплей».
Здесь появляется опасность атаке вредоносным ПО:
Вы скажете: «Я хочу отправить один биткоин этому человеку». Но всё дело в том, что вредоносное ПО может подменить адрес, по которому вы хотите совершить транзакцию, при этом показать вам адрес, по которому должна была уйти транзакция.
По словам Гийема, кошельки Ledger разработаны с необходимой функцией Trusted Display, ведь в настоящее время фишинговые атаки и атаки с подменой sim-карт являются наиболее распространёнными:
Подобные атаки — относительно дешёвые методы социальной инженерии, но, тем не менее, они очень эффективны.
В итоге Гийем сделал вывод, что на мобильных телефонах, независимо от того, Android это или iPhone, «очень сложно иметь защищённые приложения».