کیف پول‌های سخت‌افزاری چگونه هک می‌شوند؟

هک یک کیف پول ارز دیجیتال چگونه است؟ این سؤالی است که همیشه ذهن عدهٔ زیادی از کاربران ارزهای دیجیتال را درگیر خود کرده است. کاربران به‌دنبال آشنایی با روش‌های مختلف هک کیف پول‌های سخت‌افزاری هستند تا بتوانند با جلوگیری از آنها، از دارایی‌های خود محافظت کنند.

قبل از هر چیز باید بدانید که معرفی انواع مختلف روش‌های هک‌کردن کیف پول‌ها، برای آموزشِ روش‌های هک نیست و صرفاً جنبهٔ آموزشی برای بالابردن سطح آگاهی خوانندگان ارزدیجیتال دارد تا کاربران بتوانند از کیف پول‌های خود در برابر هک‌های احتمالی محافظت کنند. در ادامه، به‌کمک مقاله‌ای از وب‌سایت جنبل، نتایج تحقیقات انجام‌شده توسط تیم‌های امنیتی را بازگو کرده‌ایم. شما برای انتخاب کیف پول سخت‌افزاری موردنظر پس از خواندن این مقاله می‌توانید به وب‌سایت جنبل مراجعه کرده و آن را سفارش دهید.

روش‌های مختلف هک کیف پول‌های سخت‌افزاری

هک کیف پول می‌تواند به روش‌های مختلف و در زمان‌های متفاوت اتفاق بیفتد؛ در این مقاله، این موضوع برحسب زمان خرید در دو دسته بررسی‌ شده است:

• دست‌کاری قبل از خرید: ممکن است کیف پول قبل از اینکه به دست شما برسد، توسط تولیدکننده یا واسط دست‌کاری شده باشد.
• در زمان استفاده: ممکن است زمانی که کیف پول در دسترس شما است و از آن استفاده می‌کنید، توسط یک هکر دست‌کاری شود.

دستکاری قبل از خرید

دست‌کاری دستگاه قبل از اینکه به دست کاربر نهایی برسد، یکی از محتمل‌ترین مشکلاتی است که ممکن است برای کیف پول سخت‌افزاری اتفاق بیفتد. در ادامه با چند مورد از این دست‌کاری‌ها آشنا می‌شوید.

دستکاری توسط واسط بین شما و محصول

همان طور که سازمان امنیت ملی آمریکا روترهای سیسکو را دست‌کاری می‌کند تا بتواند به روتر مصرف‌کننده دسترسی داشته باشد، ممکن است کیف پولی که تهیه می‌کنید پیش از رسیدن به دست شما به گونه‌ای تغییر داده شده باشد که بتواند امکان نفوذ به سخت‌افزارتان را برای هکر فراهم کند.

دستکاری توسط یکی از تولیدکنندگان اجزا

ممکن است تولیدکننده آگاهانه و یا به‌صورت اتفاقی منفذهای مخفی در کیف پول شما قرار دهد. چنین درهای پشتی (Backdoor) در محصولات تولیدکنندگان ‌تراشه‌های الکترونیکی ساخت چین دیده شده است.

سرهم‌بندی ناقص

یکی از فاکتورهای حائز اهمیت در کیفیت ابزارهای کامپیوتری، نحوهٔ چینش و کیفیت سرهم‌بندی آنهاست. اگر کنارهم قراردادن قطعات به خوبی انجام نگیرد، راه برای ایجاد باگ در نرم‌افزار یا سخت‌افزار به‌وجود می‌آید. این اتفاق در مراحل ساخت گجت‌های الکترونیکی و ابزارها تقریبا رایج است.

استفاده از RNG ناامن

تولیدکنندهٔ شماره تصادفی (Random Number Generator) یا به اختضار «RNG» عموماً به سخت‌افزار شما متصل می‌شود و وظیفه‌ٔ تولید تصادفی کلیدهای کیف پولتان را برعهده دارد. اگر این بخش از دستگاه با یک RNG مجهز شده باشد که اعداد تولیدشدهٔ آن تصادفی نباشند، هکر می‌تواند عدد را حدس زده و به کیف پول شما دسترسی داشته باشد.

در نتیجه، برای کاهش احتمالاتی که پیش از خرید متوجه دستگاه شماست، باید از شرکت‌ها و تولیدکنندگان معتبر اقدام به خرید کنید.

دستکاری‌ها در زمان استفاده از کیف پول

کیف پول سخت‌افزاری نمی‌تواند شما را از بدافزار‌های مربوط به آدرس‌ها محافظت کند. اگر کامپیوتر شما آلوده باشد، ممکن است آدرس گیرندهٔ موردنظر با آدرس کیف پول هکر جایگزین شده و دارایی‌هایتان را به آدرس اشتباه فرستاده شود.

این بدافزارها که به بدافزار‌های کلیپ‌بورد معروف هستند، بسیار رایج‌اند و پیشنهاد می‌شود حتما به هنگام ارسال پول، آدرس گیرنده را با دقت بررسی کرده و در صورت هرگونه تفاوتی، حتی جزئی و در حد حروف کوچک و بزرگ، تراکنش را انجام ندهید.

تأمین امنیت کیف پول‌ لجر

شرکت‌های مختلفی کیف پول‌های سخت‌افزاری تولید می‌کنند. اما ما در این مقاله کیف پول‌های لجر را بررسی خواهیم کرد. سایر کیف پول‌ها هم عملکرد کمابیش مشابهی با لجر دارند.

کیف پول‌های لجر، اعم از لجر نانو اس، ایکس و بلو، دارای دو تراشهٔ مجزا هستند که یکی از این تراشه‌ها مختص ذخیرهٔ سیدها است، برعکسِ تزرور که یک تراشه‌ٔ عمومی برای انجام تمام وظایف دارد.

این تراشه در لجر Secure Element نام دارد و پردازش‌گر کوچکی است که می‌تواند داده‌های حساس را نگهداری کند و نرم‌افزارهای پرداخت را اجرا کند. در واقع این همان تراشه‌ای است که در سیم‌کارت‌ها، کارت‌های بانکی، و گوشی‌های هوشمند (سامسونگ، اپل و …) استفاده می‌شود.

تراشه‌ٔ دوم با عملکرد عمومی‌تر، اتصالات USB، صفحه‌نمایش و دکمه‌ها را مدیریت می‌کند و از همه مهم‌تر، بین Secure Element و سایر بخش‌ها رابطه برقرار می‌کند. گفتنی است که هر زمان که کاربر بخواهد تراکنشی را تأیید کند، از طریق تراشهٔ عمومی (MCU) این کار را انجام می‌دهد و این دستور مستقیماً روی Secure Element اعمال نمی‌شود.

اما داشتن دو تراشه‌ٔ مجزا و جداکردن کلمات بازیابی، این کیف پول را کاملاً ایمن نمی‌کند. مهاجم هنوز هم می‌تواند از طریق دست‌کاری تراشه‌ٔ عمومی به تراشه‌ٔ اصلی دسترسی داشته باشد يا سفت‌افزار (Firmware) آن را تعویض کند. در سال ۲۰۱۸ رشيد سالم، يک نوجوان ۱۵ ساله، توانست لجر نانو اس را از این طریق هک کند.

در ادامه، حمله‌های محتمل به لجر را در دو سناریو بررسی می‌کنیم:

تعبیهٔ ابزار حساس به فرکانس رادیویی

جاش داتکو (Josh Datko)، بنیان‌گذار کریپتوترونیکس (Cryptotronix) که یک شرکت تولیدکنندهٔ سخت‌افزار در حوزهٔ ارزهای دیجیتال است، نشان داده است که با تعبیهٔ یک ابزار حساس به فرکانس‌های رادیویی در درون دستگاه، می‌توان دکمهٔ تأیید را بدون مجوز صاحب کیف پول و بدون نیاز فیزیکی به کیف پول فشار داد. البته این ضعف برای هک کیف پول‌های سخت‌افزاری دیگر هم قابل‌استفاده است.

حمله‌ٔ کانال جانبی

لجر بلو یک کیف پول تقریبا بزرگ است که صفحه‌ٔ نمایش و باتری بزرگتری نسبت به سری اس و ایکس دارد. طراحی برد مدار این کیف پول به شکلی است که به‌هنگام تولید سیدها، فرکانس‌های رادیویی خاصی را تولید می‌کند. محققان توانستند که از طریق یک الگوریتم یادگیری ماشین (Machine Learning) با دقت ۹۰ درصد رمزها را تشخیص دهند.

در زمان نگارش این مقاله، لجر یک هک دیگر را هم از سر گذرانده است. در این هک، مهاجم توانست به پایگاه دادهٔ مربوط به اطلاعات شخصی کاربران دسترسی پیدا کند، اما اطلاعات حساس دیگری مثل رمز عبور درز نکرده است.

اما شاید مهم‌ترین اتفاق امسال (۱۳۹۹) برای لجر، کلاهبرداری از طریق گوگل پلی بود. تابستان امسال، نسخه‌ٔ قلابی «Ledger Live Mobile» روی گوگل پلی منتشر شد، این بدافزار از کاربران می‌خواست تا سیدهای خود را در آن وارد کنند.

هر نرم‌افزاری که کلمات بازیابی را از شما بخواهد، می‌تواند کوین‌های شما را به سرقت ببرد. نسخهٔ اصلی را فقط و فقط از سایت لجر دانلود کنید و هیچگاه کلمات بازیابی را در هیچ اپلیکیشن دیگری وارد نکنید. حتی نسخهٔ اصلی این نرم‌افزار هم از شما درخواست وارد کردن کلمات را نمی‌کند و تنها جایی که این کلمات را باید وارد کنید، دستگاه لجر است.

مراقب دارایی‌های خود باشید

در این مطلب با چند نوع از حملات رایج به کیف پول‌های سخت‌افزاری آشنا شدید. آشنایی با این روش‌ها به کاربران کمک خواهد کرد تا مسائل امنیتی را بهتر رعایت کرده و از دارایی‌های خود به‌خوبی محافظت کنند.

برای در امان ماندن از این حملات، توصیه می‌شود موارد امنیتی زیر را در کیف پول لجر حتماً رعایت کنید:

• کلمات بازیابی را در جایی امن و به‌صورت آفلاین نگهداری کنید.
• مطمئن باشید که کلمات بازیابی را از روی صفحهٔ دستگاه می‌نویسید.
• از این کلمات کپی بگیرید و آن را در چند جای امن نگهداری کنید.
• کلمات بازیابی را به جز دستگاه سخت‌افزاری در هیچ‌جای دیگری وارد نکنید.
• از این کلمات عکس نگیرید و آنها را به‌صورت آنلاین ذخیره نکنید
• رمز دستگاه را جلوی افراد دیگر وارد نکنید.
• رمز را در مواقع نیاز تغییر دهید (از قسمت Settings > Security > Change PIN).
• به یاد داشته باشید که اگر رمز را ۳ بار پیاپی اشتباه وارد کنید، کیف پول ریست می‌شود.
• از رمزهای آسان و قابل‌پیش‌بینی (مثل ۱۲۳۴، ۰۰۰۰۰۰ و …) استفاده نکنید.
• رمز را روی موبایل یا کامپیوتر ذخیره نکنید.
• حساب کاربری رسمی سازندهٔ کیف پول‌ را در شبکه‌های اجتماعی دنبال کنید تا از به‌روزرسانی‌‌ها آگاه شوید.

جمع‌بندی

کیف پول‌های سخت‌افزاری به‌علت امنیت بالا انتخاب هوشمندانه‌ای هستند و نگهداری و استفاده از این نوع کیف پول‌ها نسبتاً آسان‌ است، فقط کافسیت که یک سری موارد ابتدایی را رعایت کنید. رعایت این موارد به دو بخش تقسیم می‌شود؛ در زمان خرید کیف پول و بعد از خرید کیف پول.

در زمان خرید حتما با این نکته توجه داشته باشید که کیف پول خریداری شده به شکل دستکاری شده به دست شما نرسیده باشد. وب‌سایت جنبل فروشگاه اینترنتی کیف پول‌های سخت‌افزاری در ایران است و می‌توانید برای خرید انواع مختلف کیف پول‌های لجر، کول ولت، سکیو ایکس و ترزور به آن مراجعه کنید.

تأمین امنیت کیف پول بعد از خرید هم تا حدود زیادی برعهده کاربر است. با رعایت موارد گفته‌شده در این مقاله، تجربه خوب و امنی در استفاده از این کیف پول‌ها خواهید داشت.

نکات امنیتی بیشتر برای جلوگیری از هک

• کیف پول شما قبل از استفاده حتما باید ریست شده باشد. مطمئن شوید که این کار انجام شده و یا خودتان دستگاه را ریست کنید.
• کیف پول سخت‌افزاری‌ را در امن‌ترین جای ممکن نگه دارید و حتی برای چند دقیقه به دست کسی نسپارید.
• از کیف پول سخت‌افزاری دست‌دوم استفاده نکنید.
• وقتی که کیف پول می‌خرید آن را به دقت بررسی کنید تا مطمئن شوید که قبلاً باز یا دست‌کاری نشده باشد.
• در موارد مشکوک، می‌توانید دستگاه را باز کنید و مطمئن شوید که قطعهٔ اضافی ندارد. البته این کار دستگاه را از گارانتی خارج می‌کند.
• فقط به‌هنگام ایجاد تراکنش کیف پول را به کامپیوتر یا موبایل وصل کنید و دستگاهی که کیف پول را به آن متصل می‌کنید، امن و بدون بدافزار نگه دارید.