Месяц назад компания уже столкнулась с уязвимостью man-in-the-middle, которая поколебала уверенность разработчиков устройства в его защищённости. Новая прореха в безопасности была продемонстрирована юным специалистом по информационной безопасности Салемом Рашидом.
Как утверждает Салем, в аппаратных кошельках Ledger Nano S и Nano Blue есть «дыра», позволяющая «автономно извлечь приватный ключ» и применить его для замены адреса назначения исходящих транзакций.
Подросток утверждает, что проинформировал представителей Ledger об обнаруженной уязвимости ещё в прошлом году. Тогда компания не допустила возможность извлечения приватного ключа, однако поблагодарила Салема за проделанную работу.
Тогда Салем выложил в своём блоге доказательства возможности извлечения ключа. Он также предостерёг пользователей от покупки аппаратных кошельков на Amazon или eBay, поскольку мошенники имеют возможность продать уже «прошитый» гаджет с вредоносным ПО, получив позже несанкционированный доступ к кошельку и средствам жертвы. Плохо то, что у пользователей нет простого способа для подтверждения безопасности устройства.
Генеральный директор компании Эрик Ларчевек преуменьшает обнаруженную проблему в обсуждении на Reddit. Компания выпустила обновление прошивки с тех пор, как была обнаружена уязвимость. Салем советуем всем владельцам кошельков Ledger как можно скорее установить обновление.
Ситуацию прокомментировал начальник безопасности компании Чарльз Гиллемет:
«Салем, доказывая свою концепцию, ссылается на то, что реселлер-мошенник, который физически получает доступ к устройству, может установить вредоносное ПО на микроконтроллере, что позволит обмануть пользователя во время процесса верификации. Мы продаём большинство наших устройств напрямую. Что касается наших официальных реселлеров, то все они профессионалы, проверенные в соответствии с процедурой KYC (знай своего клиента), в том числе изучен их опыт работы с криптовалютами».