Unciphered Reveals Now-Patched Vulnerability In OneKey Wallet

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

Unciphered Reveals Now-Patched Vulnerability in OneKey Wallet PlatoBlockchain Data Intelligence. Vertical Search. Ai.

ان کے چینل پر شیئر کی گئی ایک YouTube ویڈیو میں، Unciphered میں سائبر سیکیورٹی ٹیم نے OneKey والیٹ کے لیے ایک اہم حفاظتی خطرے کا مظاہرہ کیا جسے انہوں نے تحقیق کے دوران دریافت کیا۔

جیسا کہ سفید ٹوپی کے خطرات کی دریافت کا رواج ہے، ویڈیو کو پیچ کرنے کے بعد جاری کیا گیا تھا۔

حسب ضرورت خفیہ کاری کا فقدان

Unciphered، ایک سائبرسیکیوریٹی اسٹارٹ اپ جس کی بنیادی توجہ ان کلائنٹس کے لیے کھوئے ہوئے کرپٹو کو بازیافت کرنا ہے جن کے پاس اب ان کے بٹوے تک رسائی نہیں ہے، اس نے ممکنہ طور پر کسی صارف کے لیے فنڈز کی وصولی کی کوشش کے دوران اس مسئلے سے پردہ اٹھایا۔ میں ویڈیو, OneKey والیٹ کو الگ کیا جاتا ہے اور اس میں ہیرا پھیری کی جاتی ہے، جس میں Unciphered ٹیم ہارڈ ویئر کا ایک ٹکڑا داخل کرتی ہے جو والیٹ کے CPU اور اس کے محفوظ یونٹ کے درمیان مواصلات کی نگرانی کرتی ہے۔

عام طور پر، سی پی یو اور محفوظ یونٹ کے درمیان مواصلت - جہاں یادداشت اور کرپٹو کو ذخیرہ کیا جاتا ہے - کو خفیہ کیا جاتا ہے۔ تاہم، OneKey بٹوے کے لیے، ایسا لگتا ہے کہ ایسا نہیں تھا۔

"عام طور پر، مواصلات کو CPU کے درمیان خفیہ کیا جاتا ہے، جہاں پروسیسنگ کی جاتی ہے، اور محفوظ عنصر. ٹھیک ہے، یہ پتہ چلتا ہے کہ اس معاملے میں ایسا کرنے کے لئے انجنیئر نہیں کیا گیا تھا. لہذا آپ جو کرسکتے ہیں وہ درمیان میں ایک ٹول ڈالنا ہے جو مواصلات کی نگرانی کرتا ہے اور ان کو روکتا ہے، اور پھر اس کے اپنے حکموں کو انجیکشن کرتا ہے۔

فیکٹری موڈ بائی پاس

CPU اور محفوظ یونٹ کے درمیان ہارڈ ویئر کا اپنا ٹکڑا ڈال کر، Unciphered کی ٹیم ڈیوائس کو یہ سوچنے پر مجبور کر سکتی ہے کہ یہ فیکٹری موڈ میں ہے، جس نے پھر یادداشت کو ٹیم کے ڈیوائس پر پھینک دیا۔

اشتھارات

"ہم نے ایسا کیا جہاں یہ پھر محفوظ عنصر کو بتاتا ہے کہ یہ فیکٹری موڈ میں ہے، اور ہم آپ کی یادداشت کو باہر لے جا سکتے ہیں۔"

اس سے ایک برے اداکار کو اجازت مل جاتی جو بٹوے کو دوبارہ جوڑنے کے بعد اس تک رسائی حاصل کرنے کے لیے کمزوری کا پتہ لگا سکتا تھا۔

حالیہ سیکیورٹی فکس رپورٹس پر ہمارا جواب https://t.co/Dp9nNp1D0U

— OneKey اوپن سورس والیٹ (@OneKeyHQ) 10 فروری 2023

یہ بات قابل غور ہے کہ اس ہیک کو انجام دینے کے لیے، ایک برے اداکار کے لیے ڈیوائس تک جسمانی رسائی ہونا ضروری تھا، کیونکہ اسے دور سے انجام نہیں دیا جا سکتا تھا۔ بہر حال، یہ نوٹ کرنا ضروری ہے کہ ہارڈویئر والیٹ کے مقام کو بے نقاب کیا جا سکتا ہے - لیجر کی خلاف ورزی کو لے لیں، مثال کے طور پر، جہاں والیٹ کلائنٹس کا ڈیٹا بے نقاب ہوا تھا، جس سے وہ ممکنہ چوری کے ساتھ ساتھ عام بھتہ خوری کے لیے کھلے رہ جاتے ہیں۔ کوششیں.

شکر ہے کہ دونوں کمپنیوں کے درمیان رابطے کی وجہ سے اب یہ مسئلہ حل ہو گیا ہے۔ ان کی کوششوں کے لیے، Unciphered کو OneKey کے بگ باؤنٹی پروگرام سے ایک نامعلوم رقم موصول ہوئی۔

خصوصی پیش کش (اسپانسرڈ)
بائننس مفت $100 (خصوصی): اس لنک کا استعمال کریں پہلے مہینے بائنانس فیوچرز پر رجسٹر کرنے اور $100 مفت اور 10% چھوٹ فیس وصول کرنے کے لیے (شرائط).

پرائم ایکس بی ٹی خصوصی پیش کش: اس لنک کا استعمال کریں اپنے ڈپازٹس پر $50 تک وصول کرنے کے لیے رجسٹر کرنے اور POTATO7,000 کوڈ درج کرنے کے لیے۔