Αρχικήsecurity15χρονος ανακαλύπτει ευπάθειες στο Ledger Nano S Cryptocurrency Wallet

15χρονος ανακαλύπτει ευπάθειες στο Ledger Nano S Cryptocurrency Wallet

LedgerΗ Ledger, κατασκευάστρια εταιρεία Cryptocurrency Wallets, ισχυρίζεται ότι προσφέρει ιδιαίτερα ασφαλή hardware wallets για την αποθήκευση κρυπτοσυναλλαγών. Ωστόσο ένας δεκαπεντάχρονος προγραμματιστής, ο Saleem Rashid, κατάφερε να χακάρει το Ledger Nano S.

Σε ένα post του, ο Rashid συζήτησε τις ευπάθειες του hardware wallet της Ledger, αξίας $ 100, που προκλήθηκαν από τη χρήση προσαρμοσμένης αρχιτεκτονικής.

Εξήγησε ότι ένα ελάττωμα στο ψηφιακό πορτοφόλι επιτρέπει στους χάκερ να κλέψουν τα ιδιωτικά κλειδιά πριν ή ακόμα και μετά την απόκτηση της συσκευής.

Φυσική πρόσβαση πριν από τη ρύθμιση του seed

Σε αυτό το σενάριο, που ονομάζεται “επίθεση αλυσίδας εφοδιασμού”, ένας χάκερ μπορεί να τροποποιήσει τα δημιουργημένα seed ανάκτησης. Καθώς όλα τα ιδιωτικά κλειδιά προέρχονται από αυτά τα seed ανάκτησης, γίνεται εύκολη η κλοπή των χρημάτων που έχουν φορτωθεί στη συσκευή.

Φυσική πρόσβαση μετά τη ρύθμιση

Αυτή η μέθοδος είναι γνωστή ως “Evil Maid Attack”, η οποία επιτρέπει σε έναν εισβολέα να εξαγάγει PIN, seed ανάκτησης και οποιεσδήποτε φράσεις πρόσβασης BIP-39 που χρησιμοποιούνται αν η συσκευή έχει χρησιμοποιηθεί τουλάχιστον μία φορά μετά την επίθεση.

Malware σε συνδυασμό με social engineering

Εδώ, ο χρήστης καλείται να ενημερώσει το υλικολογισμικό MCU σε έναν μολυσμένο υπολογιστή. Κατά την επιβεβαίωση της ενημέρωσης, το κακόβουλο λογισμικό μολύνει to MCU με κακόβουλο κώδικα και παίρνει τον έλεγχο των πλήκτρων οθόνης και επιβεβαίωσης.

Μετά την έκθεση αυτών των αδυναμιών ασφαλείας, η Ledger δημοσίευσε μια ενημέρωση για το υλικολογισμικό της 1.4.1 στις 20 Μαρτίου. Αυτή η ενημερωμένη έκδοση επιδιορθώνει συνολικά τρία ζητήματα ασφάλειας, συμπεριλαμβανομένων αυτών που επεσήμανε ο Rashid.

Επίσης, η εταιρεία διαβεβαίωσε ότι η ενημέρωση θα “επαληθεύσει την ακεραιότητα της συσκευής σας” και ότι μια επιτυχημένη ενημέρωση σημαίνει ότι “η συσκευή σας δεν έχει αποτελέσει στόχο οποιασδήποτε από τις επιθέσεις για τις οποίες δημιουργήθηκαν patches”.

Παρόλο που αυτές οι ενημερώσεις έφεραν κάποια ανακούφιση στους χρήστες της Ledger, εξακολουθεί να τίθεται το ερώτημα για τους ισχυρισμούς της εταιρείας ότι τα ψηφιακά πορτοφόλια της είναι 100% ασφαλή.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS