П’ятнадцятилітній підліток хакнув апаратний криптогаманець Ledger Nano S


Published on 22 Mar. 2018
01

Апаратний криптогаманець Ledger Nano S мав вразливість - експерт із безпеки, підліток Салім Рашид (Saleem Rashid), виявив проблему у “недоступному” гаманці. Історія почалася у листопаді 2017 року, коли Рашид повідомив технічному директору Ledger Ніколасу Бакку (Nicolas Bacca) про недолік, який міг дозволити атакувальникам красти кошти із гаманців користувачів.

Рашид помітив, що мікроконтролер, використаний у гаманці, не був безпечним. Хоча це дозволяло використовувати кнопки та дисплей для введення даних, він був під’єднаний як проксі до Secure Element (SE). Останній утримував приватні ключі, що означало, що хакер може обманути SE різними способами. Наприклад таким чином, що роздрібні продавці та торговці (які продають цей апаратний гаманець) можуть змінити прошивку мікроконтролера, яка, тепер скомпроментована, могла б підтверджувати її ідентифікацію для SE. Далі він пояснив, що атакувальник міг би контролювати користувацький інтерфейс і використовувати зловмисне програмне забезпечення, щоб обнуляти гаманець і додавати відновлені сіди на власний вибір. Рашид обрав слово “відмовитися” і довів свою думку у завантаженому відео. Коли б атакувальники мали мнемонічну фразу, вони можуть легко отримати таємні ключі.

Після того, як Рашид відправив своє дослідження в компанію, він побачив, що команда не сприйняла цю помилку серйозно. Тим не менш, вони опублікували оновлення прошивки 6 березня, яке було сильно розкритиковане Рашидом. Він опублікував свою думку в Twitter, оскільки він вважав, що команда або має опублікувати це оновлення як критичне, або замаскувати таким чином, щоб хакери не встигли скористатися цим трюком.

Поміж користувачів поширилася паніка, вони взялися обговорювати їхні наступні кроки на Reddit. Ерік Ларчевік (Eric Larchevêque), генеральний директор Ledger, відповів на одне з таких повідомлень, сказавши, що це “масивне FUD” (поширення паніки), і що Рашид просто намагається привернути увагу до себе, тоді як проблема явно не є пріоритетною. “Салім був помітно засмучений, коли ми не повідомили про “критичне оновлення з безпеки” і вирішив поділитися своєю думкою з цього питання. - написав Ларчевік.

20 березня Ledger опублікували наступне оновлення, у якому пояснювали три проблеми, виявлені дослідниками бонусної програми Тімоті Існаром (Timothée Isnard), Салімом Рашидом (Saleem Rashid) та Сергієм Волокітіним (Sergei Volokitin). Цікаво, що Рашид заперечує цю заяву, тому що підписання договору на бонусну програму від Ledger заборонило б йому публікувати технічний звіт, що він явно зробив у той же день. Що ж до нових оновлень, то Рашид пояснив, що йому не було дозволено отримати “реліз кандидата”, але він впевнений, що кілька виправлень не могли повністю звільнити від небезпеки хакерських атак.

Чи справді можна використати поєднання прошивки таймінгу та “труднощів із стисненням”, щоб досягти безпеки у цій моделі,

- написав Рашид. 

Його підтримав  криптограф Метью Грін, який пояснив у своєму пості в Twitter як саме тінейджер  зміг прорватися через систему безпеки Ledger.

Підліток, який мешкає у Великій Британії, перед тим виявив помилку у криптовалютному апаратному гаманці TREZOR.One. Цю проблему було вирішено через здорове спілкування між обома сторонами.  Генеральний директор SatoshiLabs Марек Палатінус (Marek Palatinus) навіть похвалив Рашида за його роботу, сказавши:

Його нестандартне мислення і креативний підхід допомагають нам робити навіть ще більш безпечний продукт.


More news

Осінній криптосезон в Швеції: у вересні пройде друга Blockchain & Bitcoin Conference Stockholm


11 вересня міжнародна компанія Smile-Expo проведе масштабний захід Blockchain & Bitcoin Conference Stockholm вдруге. Криптоексперти зберуться в столиці Швеції, щоб обговорити використання технологій розподіленого реєстру в різних індустріях.

12 Jul. 2018

Біткойн – найкращий вибір для криптовалютного інвестора: «криптокороль» з Волл-Стріт


Барт Сміт (Bart Smith) вважає, що біткойн повинен бути основним вибором криптовалютних інвесторів через те, що він добре себе зарекомендував та вже використовується.

12 Jul. 2018

Засновник TenX вважає, що біткойн може цього року сягнути $60 000


Криптовалютний ринок останнім часом не давав приводів для оптимізму, з його черговим падінням, але рух на регуляційному фронті підняв настрій багатьом спостерігачам. Виконавчий директор одного зі стартапів вважає, що ціна біткойна може сягнути $60 000 ще цього року.

12 Jul. 2018