La compañía desarrolladora de carteras frías Trezor anunció que la última actualización lanzada para el modelo Trezor One corrige dos vulnerabilidades de firmware que no fueron anunciados al momento. La actualización 1.6.2 del monedero eliminó dos fallas de seguridad identificadas en mayo de este año y corregidas en junio, cuando añadieron el soporte de ocho criptomonedas.
De acuerdo a la explicación publicada por Trezor, el investigador y desarrollador Christian Reitter descubrió dos vulnerabilidades en el software 1.6.0 de la billetera Trezor One el 25 de mayo de 2018. Dicha falla de seguridad fue corregida por el equipo de Satoshi Labs con la actualización 1.6.2, lanzada el 25 de junio. Sin embargo, estos errores no fueron informados a los usuarios sino hasta hace cuatro días. Una decisión que dejó a los clientes de Trezor que no hicieron la última actualización expuestos a un peligro silente.
El primero de los errores encontrados por Reitter es un Desbordamiento de Búfer. Un error que puede ser “explotado por un atacante que inunde el dispositivo con paquetes de datos de un tipo específico”, los suficientes para que el búfer se desborde y el atacante tenga la oportunidad de escribir hasta 60 bytes de datos en una parte protegida de la memoria de la cartera. Esta vulnerabilidad, que requiere acceso al dispositivo a través de una computadora infectada, afecta principalmente a los Trezor que mantienen versiones de firmware entre 1.5.2 y 1.6.0.
Asimismo, el segundo afecta a los dispositivos Trezor One con la versión 1.6.1 y anteriores y explota la ventana de recuperación durante “la ejecución en seco (dry-run) para desencadenar un compartimiento que demande muchos recursos en el manejo de datos y conlleve a un desbordamiento de la pila”.
En ambos casos, Trezor aseguró que no existen pruebas de que dichas vulnerabilidades hayan sido explotadas. Incluso aseguraron que decidieron retrasar el anuncio de las fallas de seguridad principalmente por tratarse de un error encontrado en un software obsoleto; pues la actualización 1.6.1, ocurrió el 21 de marzo y mitigó parcialmente los problemas de seguridad. Sin embargo, son enfáticos en recordar a sus clientes que deben mantener sus dispositivos actualizados.
Es importante tener en cuenta que lo anunciado por Trezor el 25 de junio fue la implementación del protocolo Overwinter de Zcash, la actualización del formato de direcciones de carteras para Bitcoin Cash Cashaddr. Además esta versión incorpora varias monedas, entre las que destacan Lisk, Decred y Vertcoin, entre otros. El comunicado incluye un recordatorio a los usuarios que mantenían la versión 1.4.0 del firmware en el que alertaban la posibilidad de que serían limpiados por la obsolescencia del software.
Trezor es una de las carteras frías más utilizadas del ecosistema, y el producto afectado uno de los más vendidos de su línea de productos. Sin embargo, desde principios de 2018 está disponible el modelo T, que cuenta con una memoria micro SD. Esta línea de productos no es afectada por las vulnerabilidades.
Imagen destacada de Jamrooferpix / stock.adobe.com
