يوجد بعض "الثغرات" في Trezor , طبعا هدا لايعني ان محفظة Ledger لا تحتوي على اي ثغرات ولكن فريق Ledger لم يكتفي فقط باختبار محفظته ولكن ذهب لابعد من ذلك وبداء في اختبار محفظة Trezor وقد وجدو بعض الثغرات فيها , اهمها
1- سهولة التلاعب بالمحفظة بدون ان يظهر للمستخدم انه تم التلاعب بها:
بناء على فريق لادجر , قد استطاع الفريق فتح محفظة ترازور, وقامو بالتلاعب بعناصرها , وثم اغلقوها ولا يوجد اي دليل يبين ان هده المحفظة قد تم التلاعب بها وتبدو تماما مثل المحفظة التي تأتي مباشرة من الموقع, مما يعني انك لو اشتريت احد تلك المحافظ فسيكون احد اخر يمتلك وصول كامل للبتكوين الموجودة في محفظتك
كيف تحاول تجنب هده الثغرة ؟
لاتشتري اي محفظة الا من الموقع نفسه مباشرة (ليست طريقة امنة 100% ولكن افضل بكتير من شراء المحفظة من مكان اخر)
2-معرفة كلمة السر PIN code في حال ضايع او سرقة المحفظة منك :
اتبت الفريق انه باستخدام مايعرف بي Side Channel Attack , حيت انه يوجد ثغرة في المحفظة تمكن المخترق من قياس استهلاك الطاقة لكل رقم , وعن طريقها يمكن معرفة كلمة السر بكل سهولة ( الارقام الصحيحة تستهلك طاقة مختلفة عن الخاطئة حسب فهمي الشخصي) , بناء على الفريق فقد تمكنو من ايجاد ال PIN في خمسة محاولات فقط.
كيف تتجنب هده الثغرة ؟
قد بتحديث الفيرم وير الخاص بك لهدا الاصدار 1.8.0
3 و 4 امكانية الوصول للبيانات الموجودة في داخل الفلاش ميموري :
نظرا لخطورة هاثين الثغرتين فقد امتنع فريق لادجر ان الافصاح عنهما للعلن , واكتفو بابلاغ فريق ترازور , هده الثغرة لايمكن اصلاحها عن طريق تحديث الفيرم وير والحل الوحيد هوا الغاء الاصدارات القديمة وتغير احد عناصر المحفظة "فيزيائي" وليس عن طريق كود او شي , لتجنب احتمالية هده الثغرة يجب عليك استعمال passphrase معقد
5- امكانية تحليل معلومات التشفير خاص ب اصدار Trezor One:
اكتشف الغريق ثغرة في مايعرف بي Scalar Multiplication function ( ناقشنا جزء من هدا الموضوع في موضوع bounty0z يمكن القراءة اكثر عنه
https://bitcointalksearch.org/topic/--5210336)
هده الثغرة لا تأتير مباشر لها ,لانه يتطلب معرفة ال PIN على اي حال , ولكن يكفي ان فريق Trezor قالو ان محفظتهم غير معرضة ل side channel attacks وتبين انهم غير محقين في هده المسئلة.
في الاسفل ملخص لتقرير فريق لادجر عن الثغرات
كلمة patched يعني ثم اصلاح الثغرة في الاصدارات الجديدة او بتحديث ال Firmware , في المقابل كلمة Not patched تعني لم يتم اصلاح الثغرة.
مصدر الصورة والمعلومات :
https://www.ledger.com/our-shared-security-responsibly-disclosing-competitor-vulnerabilities/
طبعا هدا لايعني ان محفظة Ledger لاتحتوي اي ثغرات ولكن شخصيا افضل فريق Ledger , الفرق الاخر بينهم هو ان Trezor تعتبر Open-Source بينما Ledger ليست 100% Open-Source حيث ان فريق لادجر اضاف مايعرف بي Secured Element مغلق المصدر ولا احد يعرف مادا يحدث فيه سوا فريقهم. ( شكرا ل Hugeblack على تنبيهي لهده النقطة)
طبعا لايوجد اي اجابة واضحة عند مقارنة المصادر المغلقة والمفتوحة , لكل شخص نظرته الشخصية في الموضوع , ميزة الاشياء المفتوحة المصدر انه اي شخص يمكن التحقق من الكود , مادا يفعل , كيف يعمل, الخ,,يسهل ايضا عملية الاختبار وايجاد الحلول لثغرات لان اي شخص يمكن اي يقدم حلول ليس فريق الامن الخاص بالمنتج فقط , عيوبه انه اكثر عرضة للاختراق وايجاد الثغرات فيه لان كل المخترقين يعلمون تماما كيف يشتغل الكود.
بينما المصادر السرية او المغلقة لديها عيب "الثقة العمياء" , يحث انك يجب ان تتثق في الشركة المصممة في انهم لم يضعو كود يقوم بسرقة اموالك بعد فترة مثلا , الميزة هي ان الهاكرز لايعرفون كيف تسير الامور في المصادر المغلقة , او بالاحرى من الصعب معرفة كيف تجري الامور وكيف يعمل الكود وو , يعني انه من الصعب ايجاد ثغرات في البرامج المغلقة المصدر, طبعا محفظة لادجر ليست مغلقة المصدر كليا , بل هي هجين بين الشئين , بحيث انها تعطي المستخدم نوعا من الطمائنينة وفي نفس الوقت تحاول ابقاء اشياء اخرى مبهمة عن الجميع للمحافظة على امان محافظها , يمكن القراءة اكثر عن الموضوع هنا
https://www.ledger.com/secure-hardware-and-open-source/ 
