Мінфін - Курси валют України

Встановити
25 березня 2018, 11:37

Британський школяр знайшов спосіб зламати криптогаманці Ledger

15-річний британець Салім Рашид заявив, що в апаратних криптовалютних гаманцях Ledger Nano S і Nano Blue є експлойт, який дозволяє «автономно витягти приватний ключ» і використовувати його для зміни адрес призначення вихідних транзакцій.

15-річний британець Салім Рашид заявив, що в апаратних криптовалютних гаманцях Ledger Nano S і Nano Blue є експлойт, який дозволяє «автономно витягти приватний ключ» і використовувати його для зміни адрес призначення вихідних транзакцій.
Фото: cryptellect.net

За словами Рашида, про відповідну проблему він повідомив Ledger ще в листопаді 2017 року, проте з тих пір вразливість так і не була усунена. Крім того, стверджується, що виконавчий директор компанії Ерік Ларшевік назвав в листуванні експлойт «не критичним», повідомляє Forklog.

Напередодні Рашид опублікував в своєму блозі запис під заголовком «Ламаємо модель безпеки Ledger», в якій стверджує, що все ще може «автономно витягти приватний ключ» і використовувати його для зміни адрес призначення вихідних транзакцій.

Втім, для цього спершу необхідно модифікувати прошивку пристрою, перш ніж його активує кінцевий користувач, тому в небезпеці знаходяться в основному покупці з eBay і інших подібних майданчиків.

Суть експлойта полягає в тому, що сучасні гаманці Ledger використовують при роботі дві плати, які Рашид для простоти позначив SE і MCU. Перша захищена на апаратному рівні, однак не підтримує роботу з USB, кнопками і інтерфейсними екранами — за всі ці функції відповідає MCU, яка не володіє необхідним захистом від втручання і служить свого роду буфером обміну.

Як стверджує Рашид, потенційно зловмисники можуть внести зміни в програмне забезпечення MCU і таким чином згодом отримати доступ до приватних ключів користувачів — процедуру підліток наочно демонструє у відеоролику.

Крім того, відповідні інструкції він виклав на GitHub. Варто зазначити, що, за словами Рашида, уразливості піддаються всі пристрої Ledger з прошивкою версії 1.3.1 і старше.

У свою чергу, розробники Ledger в той же день випустили нову версію програмного забезпечення — 1.4.1. Стверджується, що оновлення виправляє три експлойта, серед яких і той, що описаний Рашидом.

«В процесі апдейта перевіряється цілісність вашого пристрою, тому успішне оновлення до версії 1.4.1 гарантує, що в гаманець не було внесено жодних змін. Немає необхідності в будь-яких додаткових діях, ваші приватні ключі і сіди знаходяться в безпеці», — йдеться в блозі Ledger.

Коментарі - 2

+
0
myownsumm
myownsumm
25 березня 2018, 14:02
#
ВзлОмать
+
+15
Дмитрий Сергеенко
Дмитрий Сергеенко
26 березня 2018, 6:05
#
Я вижу две причины способные «убить» криптовалюту:
1. Выпуск «суперкриптовалюты» исправляющей недостатки и уходящей от проблем обычной криптовалюты.
2. Вирус (или другой программный продукт) массово похищающий криптоденьги с кошельков. В этом случае достоинства криптовалюты становятся ее недостатками, а отсутствие обеспечения — способно вообще убить.
Учитывая «премию за взлом» второе более вероятно.
Щоб залишити коментар, потрібно увійти або зареєструватися