Британский 15-летний Салем Рашид упомянул, что он написал код, который снова дал ему вход в Ledger Nano S, гаджет стоимостью 100 долларов, который используют тысячи и тысячи во всем мире.

Он сказал, что это может позволить злоумышленнику обчистить кошелек.

Производитель кошелька уже выпустило обновление безопасности

Считается, что уязвимо к подобной атаке еще одно устройство — Nano Blue — и обновления для него не будет «в течение нескольких недель», — сообщил главный сотрудник службы безопасности Чарльз Гиллемет из журнала Quartz.

Криптовалюты наподобие Биткойна, использует технологию шифрования, известную как криптография с ключом для защиты средств. Клиенты могут потратить средства, сохраненные при условии, что они имеют доступ к приватному ключу.

«Никакого Вознаграждания»

Атака нацелена на микроконтроллеры гаджета, и в действительности один из них хранит непубличный ключ, тогда как другой действует как его прокси-сервер, чтобы показать функции и интерфейс USB.

Последний гораздо менее безопасен и не в состоянии различать настоящую прошивку — программу, запрограммированную в устройство, — и код, написанный аутсайдером.

Один существенный недостаток в отношении данной атаки состоит в том, что злоумышленнику необходимо перепрограмировать кошелек раньше, чем он попадет в руки пострадавшего

например, покупая его, изменяя его, после чего продавая его на eBay или в интернет магазине.

В своем блоге Рашид упомянул, что он отправил код, который он разработал производителю Леджера «несколько месяцев назад», но не получил никакого вознаграждения.

Он упомянул, что он опубликовал об этом после того, как главный редактор Леджера Эрик Ларчевек высказал замечания по Реддиту, который, «был полон техническими неточностями».

Опасность «преувеличена».

В своих отзывах Reddit г-н Ларчевек отметил, что угроза безопасности была «чрезвычайно преувеличена».

«Потенциал данной атаки никоим образом не был продемонстрирован», — писал он.

Рашид признался, что он «явно расстроился», когда агентство не рассмотрело обновление как «важное обновление безопасности» и упомянуло, что вся эта история «породила много ненужной паники».

Крейг Юнгер (Craig Younger), исследователь агентства безопасности Tripwire, прокомментировал: «Крайне сложно полностью защитить любой гаджет от злоумышленников с физическим входом.

Из-за этого очень важно иметь доверенных партнеров, розничных продавцов

«В этом конкретном случае было обнаружено, что любой, кто имеет физический доступ, может может внести изменения в аппаратный кошелек Ledger, чтобы реализовать вход в балансы. В результате это может означать, что кто-то, кто продает этот аппаратный кошелек, сможет украсть средства у своих клиентов.

Несколько недель назад Леджер подтвердил, что кошельки уязвимы для атак, с помощью которого вредоносное ПО может перевести средства с кошельков хакерам.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.