Блокчейн, финтех, новая экономика, блэкджек

Ledger

В кошельках Ledger обнаружена новая уязвимость

Новости

В начале февраля все криптосообщество активно обсуждало уязвимость hardware-кошельков Ledger. Проблему решили и даже выпустили новую прошивку для Ledger Nano S. Но тут появился Салем Рашид, 15-летний британский айтишник, и сообщил, что кошельки Ledger Nano S по-прежнему уязвимы для хакеров.

Салем обнаружил новый способ получения секретных ключей Ledger. Этот способ связан с контактом злоумышленника с устройством еще до того, как кошелек попадет в руки законного владельца.

Дело в том, что спрос на продукцию Ledger опережает способность компании производить кошельки (на сегодняшний день продано более миллиона Nano S). Кошельки продаются и на Amazon, и на eBay, и хотя представители Ledger заявляют, что встроенная система безопасности настолько надежна, что никакие посредники не смогут ее взломать, Салем демонстрирует обратное.

На пути от конвейера к покупателю прошивка кошелька может быть обновлена, что позволит хакеру похитить средства, которые появятся на устройстве. Суть проблемы в том, что устройства Ledger оснащены защищенным чипом процессора и незащищенным — микроконтроллера. Последний используется для различных целей, не связанных с безопасностью — от обработки соединений USB до отображения текста на цифровом дисплее. Однако оба чипа связаны и могут обмениваться информацией. Рашид обнаружил, что злоумышленник может скомпрометировать микроконтроллер, то есть установить на нем вредоносное ПО.

В продуктах Ledger есть механизм, позволяющий проверить, был или не был изменен код кошелька, но Рашид опубликовал алгоритм, позволяющий злоумышленнику обойти эти проверки безопасности. Заводить деньги на такое устройство — все равно что хранить биткоины на обычной незащищенной флешке.

Ознакомившийся с сообщением Рашида директор Open Crypto Audit Project Кеннет Уайт сказал, что был впечатлен элегантностью этого кода атаки. Кстати, четыре месяца назад Салем отправил в Ledger письмо с информацией об этой уязвимости, но производители кошельков ответили, что речь идет не об уязвимости и напомнили первое правило безопасности для пользователей кошельков Ledger — если у хакера был физический контакт с вашим устройством, это больше не ваше устройство.

* * *

Читайте наш канал и общайтесь с нами и другими читателями в чате Telegram.

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий
BTC
11795.56-6.12%
ETH
309.31-7.28%
XRP
0.43-10.84%
BCH
432.35-12.69%
Ту зе МУН