Login
Аппаратный кошелек, предназначенный для хранения криптовалют и рекламируемый его производителем как защищенный от несанкционированного доступа, был взломан британским 15-летним подростком.
Написав в своем блоге Салема Рашида, он написал код, который дал ему возможность входа в Ledger Nano S, устройство стоимостью 100 долларов (70 фунтов стерлингов), которое приобрели миллионы людей по всему миру.
По его словам, это позволит злоумышленникам вывести средства с кошелька.
Фирма, продающая кошелек сказала, что она выпустила исправление безопасности.
Считается, что недостаток также влияет на другую модель - Nano Blue - и исправление для этого не будет доступно в течение нескольких недель », - сказал главный редактор службы безопасности Чарльз Гиллемет в журнале Quartz.
Криптовалюты, такие как биткойн, используют метод шифрования, известный как криптография с открытым ключом для защиты средств. Пользователи могут тратить деньги, хранящиеся только в том случае, если у них есть доступ к закрытому ключу.
Аппаратные кошельки хранят эти секретные ключи и могут быть подключены к ПК через USB-порт.
Атака нацелена на микроконтроллеры устройства, в одном из которых хранится закрытый ключ, а другой действует как его прокси-сервер для поддержки функций дисплея и интерфейса USB.
Последнее менее безопасно и не может отличить подлинную прошивку - программное обеспечение, запрограммированное в устройстве, - и код, написанный аутсайдером.
Одно большое предостережение для метода, обнаруженного подростком, заключается в том, что злоумышленнику нужен физический доступ к кошельку, прежде чем он попадет в руки жертвы, - например, покупая его, изменяя его, а затем продавая на eBay или аналогичный онлайн-сайт.
В своем блоге Рашид сказал, что он отправил код, который он разработал для Леджера, «несколько месяцев назад», добавив, что ему не выплатили вознаграждение.
Он сказал, что решил опубликовать его после того, как главный редактор Леджера Эрик Ларчевек высказал замечания по Reddit, который, по словам подростка, «был чреват техническими неточностями».
«В результате этого я стал беспокоиться, что эта уязвимость не будет должным образом объясняться клиентам», - писал он.
В своих комментариях Reddit г-н Ларчевек сказал, что проблема безопасности «сильно преувеличена».
«Хотя это возможно, это доказательство концепции ни в коем случае не является критическим уровнем тяжести и никогда не демонстрировалось», - писал он.
Он обвинил подростка в том, что он «явно огорчился», когда фирма не разделяла это исправление как «критическое обновление безопасности» и заявила, что его решение публично «вызвало много паники».
Крейг Янг, исследователь в компании Security Tripwire, прокомментировал: «Очень сложно полностью защитить любое устройство от злоумышленников с физическим доступом. Вот почему так важно иметь доверенных производителей компонентов, торговцев и ремонт.
«В этом конкретном случае было обнаружено, что любой, у кого есть физический доступ, может изменить аппаратный кошелек Ledger, чтобы получить доступ к средствам. Фактически это будет означать, что кто-то, продающий этот аппаратный кошелек, сможет украсть средства у своих клиентов».
«К счастью для владельцев Ledger, проблема была сообщена поставщику, а скоординированное раскрытие информации сводило к минимуму риск для конечных пользователей».
Несколько недель назад Леджер подтвердил, что отдельная ошибка сделала кошельки восприимчивыми к атаке, в результате которой вредоносное ПО могло обмануть пользователей в бессознательном переводе их криптовалюты хакерам.
