Defekt v čipech ESP32 umožňuje krást soukromé klíče prostřednictvím Bluetooth nebo je předpovídat na základě chyb v generativní náhodnosti klíčů.
Opakování ze strany Blockstreamu nastalo, protože podle týmu za touto společností „téma se znovu objevilo“. Zranitelnost v otázce byla detekována v mikrokontroléru ESP32, vyrobeném společností Espressif Systems, používaném v některých hardwarových peněženkách pro ukládání kryptoaktiv, včetně Jade. Na úrovni těchto čipů byla nalezena bezpečnostní chyba, která by mohla kompromitovat prostředky uživatelů. Podle společnosti, která vytvořila Jade, tato zranitelnost neovlivňuje jejich peněženku, protože ta pracuje s vícestupňovým přístupem k entropii.
16. dubna, z oficiálního účtu X společnosti Blockstream, firmy zaměřené na vývoj infrastruktury pro Bitcoin (BTC) a kryptoměny, bylo opětovně potvrzeno, že zranitelnost objevená v březnu, která ovlivnila hardwarové peněženky, se netýká zařízení vyrobených touto společností, peněženek Jade.
Značky jako Trezor a Ledger, které používají čipy zabezpečeného prvku (SE), jsou mimo dosah této hrozby, protože neobsahují mikrokontrolér ESP32.
Na druhé straně, jiné hardwarové peněženky, které mohou být připojeny k peněžence Electrum, by také mohly být v ohrožení. Peněženky, které používají ESP32 k povolení funkcí, jako je konektivita Bluetooth nebo Wi-Fi, což umožňuje nastavit a provozovat tyto peněženky z mobilních zařízení, je staví do středu obav vyplývajících z této zranitelnosti.
Kde tato zranitelnost spočívá?
Mikrokontrolér ESP32 je komponenta s nízkými náklady a vysokou univerzálností, známá svou schopností připojit se prostřednictvím Bluetooth a Wi-Fi. Jeho popularita v projektech s otevřeným kódem vedla k jeho přijetí některými hardwarovými peněženkami, které jsou fyzické zařízení navržené k ukládání soukromých klíčů offline, čímž je chrání před digitálními útoky.
Nicméně, zpráva zveřejněná výzkumníky z Crypto Deep Tech, nazvaná ‚Bitcoin Bluetooth Attacks‘ (Útoky na Bitcoin přes Bluetooth), odhalila kritickou zranitelnost v bezpečnosti ESP32, která ohrožuje peněženky Bitcoin a další kryptoaktiva, které používají tyto mikrokontroléry.
Podle tohoto zdroje je chyba v generátoru náhodných čísel (PRNG) ESP32, který vykazuje nedostatečnou entropii. Entropie, v kontextu kryptografie, měří míru náhodnosti systému. Generátor náhodných čísel s nedostatečnou entropií vytváří předvídatelné sekvence, což útočníkovi usnadňuje odvodit soukromé klíče, které jsou velkými náhodnými čísly používanými například v algoritmu ECDSA Bitcoinu k podepisování transakcí.
Jak uvádí zpráva: „Nízká entropie PRNG v ESP32 umožňuje útočníkům předpovědět generované soukromé klíče, čímž ohrožuje bezpečnost prostředků uložených v hardwarových peněženkách, které závisí na tomto čipu.“
Kromě toho zpráva zdůrazňuje, že konektivita Bluetooth ESP32 zvyšuje riziko. Útočník by mohl využít toto rozhraní k provádění vzdálených útoků, přičemž by měl přístup k zařízení bez nutnosti fyzického kontaktu. Tato zranitelnost se projevuje prostřednictvím dvou hlavních slabin v ESP32: generátor náhodných čísel a rozhraní Bluetooth.
Například podle Crypto Deep Tech prokázaly předchozí zranitelnosti v protokolu Bluetooth ESP32, jako jsou ty, které jsou spojeny se sadou chyb známou jako BrakTooth (nalezenou v roce 2021), že je možné spustit libovolný kód nebo kompromitovat paměť zařízení.
V případě hardwarové peněženky by to mohlo znamenat schopnost podepisovat neoprávněné transakce a vyprázdnit prostředky uživatele.
Znamená chyba v Bluetooth pouze krádeže na krátkou vzdálenost?
Bluetooth Low Energy (BLE), používaný ESP32, má standardní dosah 10 až 100 metrů za ideálních podmínek, v závislosti na faktorech jako je síla signálu, fyzické překážky (zdi, nábytek) a prostředí (elektromagnetické rušení).
V reálných scénářích, jako je veřejné místo (kavárna, letiště), by útočník potřeboval být uvnitř tohoto dosahu, aby mohl interagovat s hardwarovou peněženkou.
Nicméně útočníci mohou používat směrové antény nebo zesilovače signálu Bluetooth k rozšíření dosahu útoku nad 100 metrů. V dokumentovaných experimentech, jako jsou ty související s předchozími zranitelnostmi Bluetooth (například BrakTooth), bylo prokázáno, že dosah může být rozšířen na několik set metrů nebo dokonce kilometrů s pokročilým hardwarem, jako jsou dálkově ovládané Bluetooth adaptéry nebo drony vybavené transceivery.
To znamená, že útočník nemusí být nutně ‚v blízkosti‘ v běžném smyslu (například několik metrů). Může operovat z parkovaného vozidla, blízké budovy nebo dokonce z mobilního zařízení skrytého na veřejném prostoru.
Kromě toho se zjištěný defekt v ESP32 neomezuje výhradně na okamžitou exploataci prostřednictvím Bluetooth. Útočník by mohl použít Bluetooth jako počáteční vektor k kompromitaci hardwarové peněženky a poté vytvořit trvalý kanál útoku.
Útočník uvnitř dosahu Bluetooth by mohl nahrát kompromitovaný firmware do ESP32. Tento firmware by mohl být naprogramován tak, aby odesílal soukromé klíče nebo obnovovací semena na vzdálený server prostřednictvím Wi-Fi (pokud je povoleno) nebo dokonce když se peněženka později připojí k jinému zařízení. V tomto případě by k krádeži prostředků mohlo dojít mnohem později po počátečním útoku, aniž by byla vyžadována stálá blízkost.
Odpověď společnosti Espressif Systems
Společnost Espressif Systems, která stojí za ESP32, zveřejnila v březnu prohlášení, v němž se zabývá obavami o bezpečnost svého mikrokontroléru. Společnost uznává, že ESP32 nebyl navržen specificky pro aplikace vyžadující vysokou bezpečnost, jako jsou ty, které požadují hardwarové peněženky pro kryptoměny. Nicméně obhajuje, že čip může být bezpečný, pokud výrobci zařízení implementují dodatečné opatření.
Ve svém prohlášení společnost Espressif vysvětluje, že „ESP32 je mikrokontrolér určený pro obecné účely, široce používaný v aplikacích Internetu věcí (IoT). Pro vysoce bezpečné prostředí doporučujeme vývojářům začlenit externí zdroje entropie a dedikované bezpečné prvky, kromě dodržování osvědčených postupů pro návrh hardwaru a softwaru.“
Společnost také uvádí, že pracuje na aktualizacích firmwaru, aby zmírnila identifikované zranitelnosti, včetně vylepšení generátoru náhodných čísel a bezpečnosti rozhraní Bluetooth. Nicméně, Espressif zdůrazňuje, že konečná odpovědnost spočívá na výrobcích hardwarových peněženek, kteří musí tyto aktualizace implementovat a navrhovat svá zařízení s dalšími vrstvami ochrany.
