PDA

View Full Version : 15 let staré hardwarové knihy Crypto Wallet Ledger



AntonioSammy
03-22-2018, 07:54 AM
Železářská peněženka Ledger Nano S měla přestávku v dospívající bezpečnostní expert, Saleem Rashid, našel problém s "tamper-free" peněženku. Příběh začal v listopadu 2017, kdy Rashid oznámil chybu CTO společnosti Ledger, Nicolas Bacca, který by mohl útočníkům umožnit ukrást peníze z uživatelů peněženky.

Rashid poznamenal, že mikrokontrolér používaný v peněžence není bezpečný. Zatímco umožňovalo použití tlačítek a displejů pro vstupní data, bylo připojeno k serveru Secure Element (SE) jako proxy. Druhý obsahoval soukromé klíče, což znamenalo, že by hacker mohl SE vydělat různými způsoby. Zde je návod, jak mohou maloobchodníci a prodejci změnit firmware mikrokontroléru, který by mohl nyní kompromitovat ověřit svou identitu SE. Dále vysvětlil, že útočník může ovládat uživatelské rozhraní a používat svůj škodlivý kód, aby nastavil náhodnost na nulu a přidal semeno obnovy podle vlastního výběru. Rashid si vybral slovo "opustit", aby dokázal svůj bod v nahraném videu. Nyní, kdy útočník měl mnemotechnickou frázi, mohli snadno získat soukromé klíče.
Poté, co Rashid odeslal výzkum Ledgerovi, zjistil, že tento nedostatek nebyl braný vážně. Nicméně zveřejnili aktualizaci firmwaru dne 6. března, který byl Rashid těžce kritizován. On poslal své názory na Twitter, protože on věřil, že tým měl buď poslal to jako kritickou aktualizaci nebo skryté to tak, že hackeři neměli čas použít tento trik.


https://www.ccn.com/15-year-old-hacks-hardware-crypto-wallet-ledger/