كشفت أبحاث Ledger Donjon عن ثغرة أمنية في بطاقات محفظة Tangem للأجهزة المادية تتيح للمهاجم إعادة تعيين كلمة مرور البطاقة عبر هجوم حقن أعطال بالليزر. يستهدف الهجوم البرنامج الثابت (firmware) الخاص بـ Tangem الذي يعمل على عنصر آمن بتصنيف EAL6+، ويتجاوز فحصاً للبرنامج الثابت يتحقق مما إذا كانت البطاقة في حالة استرداد (recovery) مصرح بها، مما يمكّن تعليمة SetPin من قبول كلمة مرور جديدة دون الحاجة إلى الكلمة الحالية أو بطاقة النسخ الاحتياطي. تم الإبلاغ عن الثغرة إلى Tangem في فبراير، وتؤثر على جميع بطاقات Tangem المتداولة حالياً، لأنها تفتقر إلى آلية لتحديث البرنامج الثابت ولا يمكن إصلاحها عبر تحديثات برمجية. يتطلب استغلال الثغرة حيازة مادية للبطاقة، ومعدات متخصصة لحقن أعطال الليزر تكلف نحو 250,000 دولار، وأدوات لتحليل القنوات الجانبية، وخبرة في أمن الأجهزة، مما يجعلها هجوماً مادياً منخفض الاحتمال لا هجوماً عن بُعد. يبرز هذا الاكتشاف التحديات المستمرة في أمن المحافظ المادية، حيث لا يؤدي اعتماد عنصر آمن وحده إلى إزالة جميع مخاطر البرنامج الثابت، خاصة للأجهزة التي لا تملك قدرات التحديث.
أعدّ الباحثون البطاقة عبر تعريض العنصر الآمن وربطِه بعدة مادية مخصصة، ثم استخدموا نبضة ليزر لمدة نانوثانية لاستهداف منطقة محددة في الشريحة. تسبّب حقن العطل بالليزر في تخطي أو تجاوز التحقق من حالة الاسترداد الذي ينبغي أن يحمي تغييرات كلمة المرور. وبمجرد حدوث ذلك، تمكن المهاجم من تعيين كلمة مرور جديدة على البطاقة دون معرفة الكلمة الأصلية.
بعد إعادة تعيين كلمة المرور، يمكن للمهاجم استخدام البطاقة لتوقيع المعاملات، مما يعني أن الأموال المرتبطة بالمحفظة قد تُنقل إذا نجح المهاجم في اختراق البطاقة. أعاد Ledger Donjon إنتاج الهجوم على بطاقة Tangem ثانية وثالثة بعد العرض الأولي، حيث تطلب كل عملية إعادة نحو ساعتين من وقت التحضير والاستغلال.
الهجوم تداخلي (intrusive) ويتطلب معدات مختبرية، مما يحد من أهميته للاستخدام اليومي المعتاد. ولا يمكن تنفيذه عبر التصيد الاحتيالي أو البرمجيات الخبيثة أو هاتف مخترق أو هجوم عبر شبكة عن بُعد. يجب أن يكون لدى المهاجم البطاقة فعلياً ووقت كافٍ لتنفيذ أعمال على مستوى الشريحة.
شدد Ledger Donjon على هذه النقطة في إفصاحه، قائلاً: "ما يعنيه ذلك للمستخدمين: لا توجد رقعة، لكن الهجوم مادي وتداخلي، لذا لا يمكن تنفيذه بشكل خفي وإرجاع البطاقة سليمة. الخطر الحقيقي الوحيد هو ضياع البطاقة أو سرقتها؛ إذا بقيت بطاقتك في حوزتك، فلن يمكن تنفيذ الهجوم الموصوف هنا."
وأشار الباحثون إلى أن إعداد مختبر Ledger Donjon كلف نحو 250,000 دولار. بالنسبة للمستخدمين ومقدمي خدمات الحفظ (custodial)، فإن أبرز نقطة تعرض هي بطاقات المحفظة المفقودة أو المسروقة أو غير المراقبة، وليس الاختراق عن بُعد. الاستجابة المباشرة الأكثر للمستخدمين هي تشغيلية: الحفاظ على أمان البطاقة ماديًا، واعتبار البطاقة المفقودة أنها مخترَقة، وتحريك الأموال عندما تغادر البطاقة سيطرة مالكها.
اعترضت Tangem على الأهمية العملية للنتائج. قالت الشركة إن الهجوم يتطلب معدات مختبرية مكلفة، وحيازة مادية للبطاقة، وخبرة متخصصة، مما يجعل المخاطر على المستخدمين العاديين "معدومة عملياً تقريباً".
أشارت Tangem أيضاً إلى تبعية Ledger Donjon المؤسسية، قائلة: "ومن الجدير بالذكر أيضاً أنه رغم أن Ledger Donjon تقدم نفسها كوحدة بحث مستقلة، فإنها تعمل ضمن Ledger، وهي واحدة من أكبر منافسينا. ينبغي قراءة نتائجهم مع وضع ذلك في الاعتبار. وبمرور وقت كافٍ، ومع التمويل وإتاحة الوصول، يمكن في النهاية عكس هندسة البرنامج الثابت لأي عنصر آمن واستغلاله."
لا تزيل الردود المشكلة التقنية مباشرة، لكنها تصوّر الثغرة على أنها هجوم مادي منخفض الاحتمال لا طارئاً أمنياً على مستوى المستهلك. بالنسبة لـ Tangem، يتمثل التحدي الأساسي في أن البطاقات لا يمكن ترقيعها، مما يترك الشركة تعتمد على التواصل حول المخاطر والتغييرات المستقبلية في المنتجات وإرشادات المستخدم بدلاً من إصلاح عبر البرنامج الثابت.
يُبرز إفصاح Tangem قضية أوسع لصانعي المحافظ المادية: قد تكون الهجمات المادية نادرة، لكنها تظل مهمة لأن المحافظ المادية صُممت لحماية الأصول عالية القيمة في ظروف معادية. يجب على بائعي المحافظ الموازنة بين سهولة الاستخدام وقابلية الاسترداد وتصميم العنصر الآمن والتحقق من صحة البرنامج الثابت.
قال Ledger Donjon إن النتيجة تُظهر أن اعتماد عنصر آمن لا يزيل كل مخاطر البرنامج الثابت، مشيراً إلى أن اعتماد EAL6+ وحده لا يمنع هجمات حقن الأعطال إذا كان البرنامج الثابت يحتوي على عيوب منطقية قابلة للاستغلال. أوصى الباحثون بأن يستخدم برنامج العنصر الآمن الثابت عدة فحوصات مستقلة للعمليات الحساسة، وتعزيز طرائق التحقق من الحالة، والحفاظ على حماية تغييرات كلمات المرور عندما تُعطل ميزات الاسترداد.
ذكر Ledger Donjon أنه كان قد عثر سابقاً على تجاوز حقيقي لفحص ما في تطبيق Tangem لنظام Android، وعلى هجوم بالقوة الغاشمة ضد بروتوكول مصادقة البطاقة. وبالنسبة للمستثمرين والبورصات والجهات الحافظة (custodians) والمالكين على المدى الطويل، تقلل المحافظ المادية كثيراً من المخاطر عبر الإنترنت، لكنها لا تلغي مخاطر الحيازة المادية. قد تتطلب الأجهزة التي لا يمكن تحديثها سياسات تعامل أكثر صرامة، خاصة عندما تؤمّن أرصدة مادية كبيرة أو أموالاً مؤسسية.
ما الثغرة التي وجدها Ledger Donjon في بطاقات محفظة Tangem للأجهزة؟
كشفت أبحاث Ledger Donjon عن ثغرة أمنية تتيح للمهاجم إعادة تعيين كلمة مرور بطاقة Tangem عبر هجوم حقن أعطال بالليزر يستهدف عنصرًا آمنًا بتصنيف EAL6+. يتجاوز الهجوم فحصاً للبرنامج الثابت يتحقق مما إذا كانت البطاقة في حالة استرداد مصرح بها، مما يمكّن تغيير كلمة المرور دون الحاجة إلى الكلمة الحالية أو بطاقة النسخ الاحتياطي. تؤثر الثغرة في جميع بطاقات Tangem المتداولة حالياً ولا يمكن إصلاحها عبر رقعة (patch) لأنها تفتقر إلى آلية لتحديث البرنامج الثابت.
كم تكلف المعدات لتنفيذ هذا الهجوم على بطاقات Tangem؟
يتطلب الهجوم معدات متخصصة لحقن أعطال الليزر وأدوات لتحليل القنوات الجانبية وخبرة في أمن الأجهزة. قال Ledger Donjon إن إعداد مختبره كلف نحو 250,000 دولار. كما تتطلب العملية حيازة مادية للبطاقة Tangem ونحو ساعتين من وقت التحضير والاستغلال لكل بطاقة.
كيف ردت Tangem على إفصاح الثغرة؟
اعترضت Tangem على الأهمية العملية للنتائج، قائلة إن الهجوم يتطلب معدات مختبرية مكلفة وحيازة مادية للبطاقة وخبرة متخصصة، مما يجعل المخاطر على المستخدمين اليوميين "معدومة عملياً تقريباً". وأشارت الشركة أيضاً إلى أن Ledger Donjon تعمل ضمن Ledger، وهي واحدة من أكبر المنافسين لدى Tangem، وذكرت أنه مع توفر وقت كافٍ، وتمويل وإتاحة الوصول، يمكن في النهاية عكس هندسة البرنامج الثابت لأي عنصر آمن واستغلاله.
أخبار ذات صلة