BTC
4048.4
ETH
137.02
BCH
155.56
LTC
59.346
EOS
3.6753
REQ
0.0270
XMR
52.898
XRP
0.3142
https://yobitex.net
obmencrypto.com
hashflare.io
https://yobitex.net/
bestchange.ru

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

Производитель аппаратных кошельков Ledger выпустил обновление программного обеспечения, восстанавливающее  ряд пробелов в системе безопасности. Уязвимости были обнаружены тремя независимыми программистами, один из которых, Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии. Обнаруженный им вектор атаки является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.

20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление «тщательного анализа проблем безопасности»:  

«Следуя принципам прозрачности и ответственности при раскрытии информации, мы  предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО».

Наибольшее внимание привлек к себе обнаруженный Салимом Рашидом вредоносный код, как по причине юного возраста исследователя, так и из-за его публикации, содержащей подробное объяснение того, каким образом ему удалось найти проблему. 

«Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код  в компанию Ledger, чтобы они могли его воспроизвести».

Энтузиаст отказывается от вознаграждения

Компания Ledger заявляет, что специалистов по безопасности попросили подписать Соглашение о вознаграждении как одно из условий оплаты их работы, и в то же время отметили, что это не мешает им публиковать собственные отчеты. В статье написано, что предположительно все три специалиста с радостью приняли предложение, однако это не так. На самом деле Рашид отказался от вознаграждения, объяснив это следующим образом:

«Я не получал вознаграждения от Ledger, так как их  соглашение о раскрытии информации не дает мне право публиковать технический отчет. Я выбрал для себя публикацию отчета вместо получения вознаграждения от Ledger, главным образом потому, что руководитель Ledger Эрик Ларчевек (Eric Larchevêque) сделал несколько комментариев на Reddit, которые были полны технических неточностей. В результате я забеспокоился, потому что уязвимость могут объяснить клиентам не совсем правильно».

Юный программист считает, что Ledger хотят уменьшить серьезность обнаруженной им уязвимости. Публикация полного и откровенного отчета о том, как он взломал кошелек Ledger и отказ от права на вознаграждение, никак не навредило его репутации. Салиим Рашид умен не по годам, а его статья по эксплойту длинная, но будет интересна всем, увлекающимся этим вопросом.

Кошельки в безопасности

Во всей этой путанице остается невыясненным вопрос безопасности кошельков Ledger. Преподаватель криптографии Мэтью Грин (Matthew Green) опубликовал в Twitter ответ на публикацию Рашида, в котором он рассмотрел сложность полного предотвращения аппаратных атак данного типа. В конце публикации он заверил:

«Ничто в публикации или обнаруженной угрозе не говорит о том, что вы должны испугаться этих уязвимостей или что вам нужно перейти на другие кошельки. Просто соблюдайте осторожность». 

Пользователям Ledger следует обновиться до последней версии прошивки, однако повода для беспокойства нет. Атаки, подобные той, которую продемонстрировал Салим Рашид, прежде всего, показывают сложность создания устройства, невосприимчивого ко всем известным видам атак.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000041
0.000290
0.00124
USD
0.16530
1.1571
4.9591
RUB
10.537
73.757
316.10
Расширенный калькулятор
yobit.net
rebit.live
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 6068891541677
Следующая сложность: 6356868723492 (4.75%)
Блоков до пересчета: 293
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 45504238.79
Блоков в сети: 568219
Блоков в час: 6.28
Блоков за последний час: 4
До 6.25 BTC/блок: 409.91 дней
(61781 блоков)
konvert.im
go.dx.exchange
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс