TwitterVKRSS Контакты

Подросток взламывает криптовалютный кошелек

22.03.2018 00:59 |

 

Аппаратный кошелек, предназначенный для хранения криптовалют и рекламируемый его производителем как защищенный от несанкционированного доступа, был взломан британским 15-летним подростком.

Написав в своем блоге Салема Рашида, он написал код, который дал ему возможность входа в Ledger Nano S, устройство стоимостью 100 долларов (70 фунтов стерлингов), которое приобрели миллионы людей по всему миру.



По его словам, это позволит злоумышленникам вывести средства с кошелька.
Фирма, продающая кошелек сказала, что она выпустила исправление безопасности.

Считается, что недостаток также влияет на другую модель - Nano Blue - и исправление для этого не будет доступно в течение нескольких недель », - сказал главный редактор службы безопасности Чарльз Гиллемет в журнале Quartz.

Криптовалюты, такие как биткойн, используют метод шифрования, известный как криптография с открытым ключом для защиты средств. Пользователи могут тратить деньги, хранящиеся только в том случае, если у них есть доступ к закрытому ключу.

Аппаратные кошельки хранят эти секретные ключи и могут быть подключены к ПК через USB-порт.

Атака нацелена на микроконтроллеры устройства, в одном из которых хранится закрытый ключ, а другой действует как его прокси-сервер для поддержки функций дисплея и интерфейса USB.
Последнее менее безопасно и не может отличить подлинную прошивку - программное обеспечение, запрограммированное в устройстве, - и код, написанный аутсайдером.

Одно большое предостережение для метода, обнаруженного подростком, заключается в том, что злоумышленнику нужен физический доступ к кошельку, прежде чем он попадет в руки жертвы, - например, покупая его, изменяя его, а затем продавая на eBay или аналогичный онлайн-сайт.

В своем блоге Рашид сказал, что он отправил код, который он разработал для Леджера, «несколько месяцев назад», добавив, что ему не выплатили вознаграждение.
Он сказал, что решил опубликовать его после того, как главный редактор Леджера Эрик Ларчевек высказал замечания по Reddit, который, по словам подростка, «был чреват техническими неточностями».



«В результате этого я стал беспокоиться, что эта уязвимость не будет должным образом объясняться клиентам», - писал он.

В своих комментариях Reddit г-н Ларчевек сказал, что проблема безопасности «сильно преувеличена».
«Хотя это возможно, это доказательство концепции ни в коем случае не является критическим уровнем тяжести и никогда не демонстрировалось», - писал он.
Он обвинил подростка в том, что он «явно огорчился», когда фирма не разделяла это исправление как «критическое обновление безопасности» и заявила, что его решение публично «вызвало много паники».

Крейг Янг, исследователь в компании Security Tripwire, прокомментировал: «Очень сложно полностью защитить любое устройство от злоумышленников с физическим доступом. Вот почему так важно иметь доверенных производителей компонентов, торговцев и ремонт.

«В этом конкретном случае было обнаружено, что любой, у кого есть физический доступ, может изменить аппаратный кошелек Ledger, чтобы получить доступ к средствам. Фактически это будет означать, что кто-то, продающий этот аппаратный кошелек, сможет украсть средства у своих клиентов».
«К счастью для владельцев Ledger, проблема была сообщена поставщику, а скоординированное раскрытие информации сводило к минимуму риск для конечных пользователей».

Несколько недель назад Леджер подтвердил, что отдельная ошибка сделала кошельки восприимчивыми к атаке, в результате которой вредоносное ПО могло обмануть пользователей в бессознательном переводе их криптовалюты хакерам.

Смотрите также

Google запустил рекламный блокировщик для своего веб-браузера Chrome
Chrome хочет автоматически блокировать рекламу на сайтах, которые не имеют стандартов лучшей рекламы
YouTube заблокировал видеоролик о неонацистских действиях

YouTube обвинялся в том, что он был некомпетентным или безответственным в обработке видео, рекламирующего британскую крайне правую организацию.
В клипе представлена ​​речь, данная запрещенной группой неонацистов National Action.

Instagram будет предупреждать пользователей, когда их подписи на фото или видео могут считаться оскорбительными.

Компания, принадлежащая Facebook, сообщает, что она обучила систему искусственного интеллекта обнаруживать оскорбительные подписи.

Министры считают, что шифрование Facebook угрожает общественной безопасности

Министр внутренних дел Великобритании Прити Патель и ее коллеги из США и Австралии направили открытое письмо в Facebook с призывом пересмотреть свои планы по шифрованию всех сообщений на своих платформах.

Случайный анекдот №15221

Когда адвокат принес документы о пересмотре дела, судья сердито спросил:
- На каком основании?
- Ваша честь, - ответил адвокат, - у моего клиента нашлись деньги, о которых я и
не подозревал!

Ещё