Подростку удалось найти уязвимость в криптовалютных кошельках Ledger
Подростку удалось найти уязвимость в криптовалютных кошельках Ledger

Подростку удалось найти уязвимость в криптовалютных кошельках Ledger

 

Британский подросток Салим Рашид сообщил о том, что ему удалось найти уязвимость в аппаратных криптовалютных кошельках Ledger Nano S и Nano Blue, которая позволяет извлекать приватные ключи и применять их, чтобы изменять адреса назначения исходящих транзакций.

 

Рашид рассказал, что в ноябре прошлого года он уведомил компанию Ledger о данной ошибке, при этом проблема все ещё не была решена. Подросток получил ответ от исполнительного директора компании Эрика Ларшевика, в котором он сообщил, что считывает данную уязвимость «не критичной».

 

20 марта британец выложил пост на сайте своего блога под названием «Ломаем модель безопасности Ledger», где он заявляет, что в данный момент у него все ещё есть возможность «извлекать приватные ключи» и применять их, чтобы изменять адреса назначения исходящих транзакций. Однако сначала нужно немного изменить прошивку устройства, до того как он будет активирован конечным пользователем. В результате в опасности находятся прежде всего покупатели с eBay и других торговых онлайн-платформ.

 

Рашид решил публично разъяснить о сути проблемы:

 

«Для работы современных кошельков Ledger необходимы две платы, которые можно обозначит как SE и MCU. SE имеют хорошую защиту на аппаратном уровне, но при этом она не поддерживает работу с USB, кнопками и интерфейсными экранами. Эта часть функций возложена на MCU, которая не обладает нужной защитой от вмешательства и служит в качестве буфера обмена», — объяснил 15-летний подросток.

 

Молодой британец подчеркнул, что у потенциальных злоумышленников есть возможность изменить программное обеспечение MCU, чтобы в дальнейшем извлекать приветные ключи пользователей. Все желающие могут изучить данную процедуру, которую Рашид продемонстрировал в видеоролике, опубликованном в своём блоге. В дополнении, можно также просмотреть соответствующие инструкции, которые подросток опубликовал на GitHub.

 

Новости из мира биткойнов http://coinbits.news/