Adolescentul britanic a găsit o modalitate de a "înșela" aparat-portofelele Ledger

Britanul de 15 ani, Salim Rashid, a declarat că în aparatele criptovalutare Ledger Nano S și Nano Blue există un exploit care permite "extragerea autonomă a cheii private" și folosirea acesteia pentru a schimba adresa de destinație a tranzacțiilor de ieșire.

Potrivit lui Rashid, el a spus lui Ledger despre această problemă în noiembrie 2017, dar de atunci vulnerabilitatea nu a fost eliminată. În plus, se susține că directorul executiv al companiei Eric Larshevik a numit exploatarea în conversație "ne critică".

În ajun Rashid, a publicat în blogul său un raport sub titlul "Distrugem modelul de securitate Ledger", în care susține că poate "extrage în mod autonom o cheie privată" și îl folosește pentru a schimba adresa de destinație a tranzacțiilor de ieșire. Cu toate acestea, mai întâi trebuie să se modifice firmware-ul dispozitivului înainte de a fi activat de către utilizatorul final, astfel încât în pericol sunt în mare parte cumpărătorii de pe eBay și alte site-uri similare.

Esența exploatării constă în faptul că portofelele moderne Ledger utilizează două panouri în timpul funcționării, care pentru simplitate Rashid desemna SE și MCU. Primul este protejat la nivel hardware, dar nu suportă ieșiri USB și interfețe - pentru toate aceste funcții MCU nu are protecția necesară împotriva interferențelor și servește ca un fel de buffer de schimb.

Potrivit lui Rashid, potențialii intrusi pot face modificări ale software-ului MCU și, prin urmare, pot obține acces la chei de utilizator private - procedura pe care adolescentul o demonstrează în videoclip. În plus, el a prezentat instrucțiunile relevante despre GitHub. Trebuie remarcat faptul că, conform lui Rashid, toate dispozitivele Ledger cu versiunea firmware 1.3.1 și mai în vârstă sunt vulnerabile.

La rândul său, dezvoltatorii lui Ledger în aceeași zi au lansat o nouă versiune a software-ului - 1.4.1. Se presupune că actualizarea fixează trei exploitări, dintre care una descrisă de Rashid.

"În timpul actualizării, integritatea dispozitivului dvs. este verificată, astfel încât actualizarea cu succes a versiunii 1.4.1 să garanteze că nu s-au efectuat modificări în portofel. Nu este nevoie de acțiuni suplimentare, cheile dvs. private și siderile sunt sigure ", - spune blogul Ledger.
Adolescentul britanic a găsit o modalitate de a "înșela" aparat-portofelele Ledger Adolescentul britanic a găsit o modalitate de a "înșela" aparat-portofelele Ledger Reviewed by cryptonews on martie 22, 2018 Rating: 5

Niciun comentariu:

Un produs Blogger.