22.03.2018 12:57
2165

Уязвимость Ledger Nano S позволяет похищать средства

Производитель аппаратного кошелька Ledger утверждает, что его устройства взломать невозможно. Однако 15-летний подросток из Великобритании доказал обратное.

уязвимость в кошельке Ledger

Месяц назад компания уже столкнулась с уязвимостью man-in-the-middle, которая поколебала уверенность разработчиков устройства в его защищённости. Новая прореха в безопасности была продемонстрирована юным специалистом по информационной безопасности Салемом Рашидом.

Как утверждает Салем, в аппаратных кошельках Ledger Nano S и Nano Blue есть «дыра», позволяющая «автономно извлечь приватный ключ» и применить его для замены адреса назначения исходящих транзакций.

Подросток утверждает, что проинформировал представителей Ledger об обнаруженной уязвимости ещё в прошлом году. Тогда компания не допустила возможность извлечения приватного ключа, однако поблагодарила Салема за проделанную работу.

Тогда Салем выложил в своём блоге доказательства возможности извлечения ключа. Он также предостерёг пользователей от покупки аппаратных кошельков на Amazon или eBay, поскольку мошенники имеют возможность продать уже «прошитый» гаджет с вредоносным ПО, получив позже несанкционированный доступ к кошельку и средствам жертвы. Плохо то, что у пользователей нет простого способа для подтверждения безопасности устройства.

Генеральный директор компании Эрик Ларчевек преуменьшает обнаруженную проблему в обсуждении на Reddit. Компания выпустила обновление прошивки с тех пор, как была обнаружена уязвимость. Салем советуем всем владельцам кошельков Ledger как можно скорее установить обновление.

Ситуацию прокомментировал начальник безопасности компании Чарльз Гиллемет:

«Салем, доказывая свою концепцию, ссылается на то, что реселлер-мошенник, который физически получает доступ к устройству, может установить вредоносное ПО на микроконтроллере, что позволит обмануть пользователя во время процесса верификации. Мы продаём большинство наших устройств напрямую. Что касается наших официальных реселлеров, то все они профессионалы, проверенные в соответствии с процедурой KYC (знай своего клиента), в том числе изучен их опыт работы с криптовалютами».

Получайте 5 лучших статей дня на Email

Подписаться в Телеграме

Подписка на новости

Простая форма подписки MailerLite!

Пожалуйста, подождите

Вы успешно подписались на рассылку!

Adblock
detector