CVE-2022-30330

Versões do firmware do KeepKey anteriores à 7.3.2

O problema está relacionado a falhas na interface de supervisão do firmware do KeepKey, que podem ser exploradas para contornar restrições de segurança nas operações do firmware. Isso pode permitir que código de firmware malicioso eleve privilégios, torne o dispositivo inoperante ou sobrescreva o código confiável do bootloader, comprometendo a carteira de hardware mesmo após reinicializações ou limpezas de armazenamento. A exploração pode exigir acesso físico, convencer a vítima a instalar firmware malicioso ou conhecimento da frase-semente da vítima. As verificações do intervalo de endereços svhandler flash * em lib/board/supervise.c são mal tratadas, permitindo potencialmente que malware instalado persista mesmo após a limpeza do dispositivo e a reinicialização do firmware.

Para versões do firmware KeepKey anteriores à 7.3.2, atualize para a versão 7.3.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso físico ao dispositivo e evitar a instalação de firmware desconhecido ou não confiável.