BTC
6444.7
ETH
211.83
BCH
514.41
LTC
51.107
CFI
0.0233
EOS
5.4208
REQ
0.0482
XMR
106.21
XRP
0.5249
Yobit
hashflare.io
https://itsoft.ru
YoBit.Net

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

Производитель аппаратных кошельков Ledger выпустил обновление программного обеспечения, восстанавливающее  ряд пробелов в системе безопасности. Уязвимости были обнаружены тремя независимыми программистами, один из которых, Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии. Обнаруженный им вектор атаки является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.

20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление «тщательного анализа проблем безопасности»:  

«Следуя принципам прозрачности и ответственности при раскрытии информации, мы  предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО».

Наибольшее внимание привлек к себе обнаруженный Салимом Рашидом вредоносный код, как по причине юного возраста исследователя, так и из-за его публикации, содержащей подробное объяснение того, каким образом ему удалось найти проблему. 

«Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код  в компанию Ledger, чтобы они могли его воспроизвести».

Энтузиаст отказывается от вознаграждения

Компания Ledger заявляет, что специалистов по безопасности попросили подписать Соглашение о вознаграждении как одно из условий оплаты их работы, и в то же время отметили, что это не мешает им публиковать собственные отчеты. В статье написано, что предположительно все три специалиста с радостью приняли предложение, однако это не так. На самом деле Рашид отказался от вознаграждения, объяснив это следующим образом:

«Я не получал вознаграждения от Ledger, так как их  соглашение о раскрытии информации не дает мне право публиковать технический отчет. Я выбрал для себя публикацию отчета вместо получения вознаграждения от Ledger, главным образом потому, что руководитель Ledger Эрик Ларчевек (Eric Larchevêque) сделал несколько комментариев на Reddit, которые были полны технических неточностей. В результате я забеспокоился, потому что уязвимость могут объяснить клиентам не совсем правильно».

Юный программист считает, что Ledger хотят уменьшить серьезность обнаруженной им уязвимости. Публикация полного и откровенного отчета о том, как он взломал кошелек Ledger и отказ от права на вознаграждение, никак не навредило его репутации. Салиим Рашид умен не по годам, а его статья по эксплойту длинная, но будет интересна всем, увлекающимся этим вопросом.

Кошельки в безопасности

Во всей этой путанице остается невыясненным вопрос безопасности кошельков Ledger. Преподаватель криптографии Мэтью Грин (Matthew Green) опубликовал в Twitter ответ на публикацию Рашида, в котором он рассмотрел сложность полного предотвращения аппаратных атак данного типа. В конце публикации он заверил:

«Ничто в публикации или обнаруженной угрозе не говорит о том, что вы должны испугаться этих уязвимостей или что вам нужно перейти на другие кошельки. Просто соблюдайте осторожность». 

Пользователям Ledger следует обновиться до последней версии прошивки, однако повода для беспокойства нет. Атаки, подобные той, которую продемонстрировал Салим Рашид, прежде всего, показывают сложность создания устройства, невосприимчивого ко всем известным видам атак.

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000035
0.000245
0.00105
USD
0.22554
1.5788
6.7661
RUB
15.229
106.60
456.88
Расширенный калькулятор
mining-center.org
konvert.im
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 7184404942702
Следующая сложность: 7009904833829 (-2.43%)
Блоков до пересчета: 491
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 50178853.35
Блоков в сети: 549877
Блоков в час: 5.85
Блоков за последний час: 3
До 6.25 BTC/блок: 570.68 дней
(80123 блоков)
YoBit.Net
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс