Рубрика: Технологии

Британский подросток нашел способ «обмануть» аппаратные кошельки Ledger

15-летний британец Салим Рашид заявил, что в аппаратных криптовалютных кошельках Ledger Nano S и Nano Blue есть эксплойт, который позволяет «автономно извлечь приватный ключ» и использовать его для изменения адресов назначения исходящих транзакций.

По словам Рашида, о соответствующей проблеме он сообщил Ledger еще в ноябре 2017 года, однако с тех пор уязвимость так и не была устранена. Кроме того, утверждается, что исполнительный директор компании Эрик Ларшевик назвал в переписке эксплойт «не критичным».

Накануне Рашид опубликовал в своем блоге запись под заголовком «Ломаем модель безопасности Ledger», в которой утверждает, что все еще может «автономно извлечь приватный ключ» и использовать его для изменения адресов назначения исходящих транзакций. Впрочем, для этого сперва необходимо модифицировать прошивку устройства, прежде чем его активирует конечный пользователь, поэтому в опасности находятся в основном покупатели с eBay и других подобных площадок.

Суть эксплойта заключается в том, что современные кошельки Ledger используют при работе две платы, которые Рашид для простоты обозначил SE и MCU. Первая защищена на аппаратном уровне, однако не поддерживает работу с USB, кнопками и интерфейсными экранами — за все эти функции отвечает MCU, не обладающая необходимой защитой от вмешательства и служащая своего рода буфером обмена.

Как утверждает Рашид, потенциально злоумышленники могут внести изменения в программное обеспечение MCU и таким образом впоследствии получить доступ к приватным ключам пользователей — процедуру подросток наглядно демонстрирует в видеоролике. Кроме того, соответствующие инструкции он выложил на GitHub. Стоит отметить, что, по словам Рашида, уязвимости подвержены все устройства Ledger с прошивкой версии 1.3.1 и старше.

В свою очередь, разработчики Ledger в тот же день выпустили новую версию программного обеспечения — 1.4.1. Утверждается, что обновление исправляет три эксплойта, среди которых и тот, что описан Рашидом.

«В процессе апдейта проверяется целостность вашего устройства, поэтому успешное обновление до версии 1.4.1 гарантирует, что в кошелек не было внесено никаких изменений. Нет необходимости в каких-либо дополнительных действиях, ваши приватные ключи и сиды находятся в безопасности», — говорится в блоге Ledger.

Напомним, 12 декабря прошлого года появилась информация о проблемах с инфраструктурой Ledger, когда на фоне нового витка роста большинства ведущих криптовалют в офлайн ушли сразу несколько популярных платформ.

Кроме того, в начале февраля 2018 годе в аппаратном кошельке Ledger была обнаружена другая критическая уязвимость.

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]

Forklog

Недавние сообщения

Как это устроено: блокчейн – принцип работы, сферы применения и перспективы

Блокчейн сегодня прочно занял место в цифровой экономике и стал неотъемлемой частью финансового и технологического…

4 недели тому назад

Мемкоины: от шуток в интернете до многомиллиардного рынка

Криптовалюты давно стали частью финансового мира, однако не все активы этого цифрового пространства имеют серьезное…

2 месяца тому назад

Как это устроено: MicroBT Whatsminer M60S+ 200 TH/s

В последние годы майнинг криптовалют становится все более сложной и высококонкурентной деятельностью. Постоянно появляются новые…

3 месяца тому назад

Обучение трейдингу криптовалют: назначение, возможности и советы экспертов

Криптовалюты стали неотъемлемой частью современного финансового рынка, привлекая внимание не только инвесторов, но и новичков,…

3 месяца тому назад

Знакомьтесь, Стейблкоин: стабильность в мире криптовалют

В эпоху цифровой экономики и стремительного развития криптовалют стейблкоины становятся важным элементом финансовой экосистемы. Эти…

3 месяца тому назад

Как это работает: изучение английского языка по аудиокнигам

Тем, кто только начал изучать английский язык, важно понять основы: это грамматика, лексика и произношение.…

3 месяца тому назад