П’ятнадцятилітній підліток хакнув апаратний криптогаманець Ledger Nano S


Published on 22 Mar. 2018
01

Апаратний криптогаманець Ledger Nano S мав вразливість - експерт із безпеки, підліток Салім Рашид (Saleem Rashid), виявив проблему у “недоступному” гаманці. Історія почалася у листопаді 2017 року, коли Рашид повідомив технічному директору Ledger Ніколасу Бакку (Nicolas Bacca) про недолік, який міг дозволити атакувальникам красти кошти із гаманців користувачів.

Рашид помітив, що мікроконтролер, використаний у гаманці, не був безпечним. Хоча це дозволяло використовувати кнопки та дисплей для введення даних, він був під’єднаний як проксі до Secure Element (SE). Останній утримував приватні ключі, що означало, що хакер може обманути SE різними способами. Наприклад таким чином, що роздрібні продавці та торговці (які продають цей апаратний гаманець) можуть змінити прошивку мікроконтролера, яка, тепер скомпроментована, могла б підтверджувати її ідентифікацію для SE. Далі він пояснив, що атакувальник міг би контролювати користувацький інтерфейс і використовувати зловмисне програмне забезпечення, щоб обнуляти гаманець і додавати відновлені сіди на власний вибір. Рашид обрав слово “відмовитися” і довів свою думку у завантаженому відео. Коли б атакувальники мали мнемонічну фразу, вони можуть легко отримати таємні ключі.

Після того, як Рашид відправив своє дослідження в компанію, він побачив, що команда не сприйняла цю помилку серйозно. Тим не менш, вони опублікували оновлення прошивки 6 березня, яке було сильно розкритиковане Рашидом. Він опублікував свою думку в Twitter, оскільки він вважав, що команда або має опублікувати це оновлення як критичне, або замаскувати таким чином, щоб хакери не встигли скористатися цим трюком.

Поміж користувачів поширилася паніка, вони взялися обговорювати їхні наступні кроки на Reddit. Ерік Ларчевік (Eric Larchevêque), генеральний директор Ledger, відповів на одне з таких повідомлень, сказавши, що це “масивне FUD” (поширення паніки), і що Рашид просто намагається привернути увагу до себе, тоді як проблема явно не є пріоритетною. “Салім був помітно засмучений, коли ми не повідомили про “критичне оновлення з безпеки” і вирішив поділитися своєю думкою з цього питання. - написав Ларчевік.

20 березня Ledger опублікували наступне оновлення, у якому пояснювали три проблеми, виявлені дослідниками бонусної програми Тімоті Існаром (Timothée Isnard), Салімом Рашидом (Saleem Rashid) та Сергієм Волокітіним (Sergei Volokitin). Цікаво, що Рашид заперечує цю заяву, тому що підписання договору на бонусну програму від Ledger заборонило б йому публікувати технічний звіт, що він явно зробив у той же день. Що ж до нових оновлень, то Рашид пояснив, що йому не було дозволено отримати “реліз кандидата”, але він впевнений, що кілька виправлень не могли повністю звільнити від небезпеки хакерських атак.

Чи справді можна використати поєднання прошивки таймінгу та “труднощів із стисненням”, щоб досягти безпеки у цій моделі,

- написав Рашид. 

Його підтримав  криптограф Метью Грін, який пояснив у своєму пості в Twitter як саме тінейджер  зміг прорватися через систему безпеки Ledger.

Підліток, який мешкає у Великій Британії, перед тим виявив помилку у криптовалютному апаратному гаманці TREZOR.One. Цю проблему було вирішено через здорове спілкування між обома сторонами.  Генеральний директор SatoshiLabs Марек Палатінус (Marek Palatinus) навіть похвалив Рашида за його роботу, сказавши:

Його нестандартне мислення і креативний підхід допомагають нам робити навіть ще більш безпечний продукт.


More news

20% фінансових установ можуть почати торгівлю криптовалютами у 2018 році: опитування


Криптовалютний ринок може стати значно більшим цього року, залучивши більшу кількість людей до торгів.

25 Apr. 2018

У Києві пройде перша в світі криптоігрова конференція


Перша в світі конференція з крипто-ігор відбудеться 11 травня 2018 року в конференц-центрі Mercure, Київ, Україна.

24 Apr. 2018

Центральний банк Ірану заборонив участь місцевих банків в угодах з криптовалютами


Посилаючись на проблеми із відмиванням грошей, Центральний банк Ірану (CBI) заборонив банкам країни пропонувати послуги криптофірмам, які мають справу з криптовалютами.

24 Apr. 2018