Press "Enter" to skip to content

Розробки Ledger відповіли на інформацію про можливості злому їх гаманців

Виробник популярних апаратних гаманців для зберігання криптовалют Ledger відреагував на презентацію команди wallet.fail, яка заявила про виявлення декількох векторів атак на його пристрою.

«Їм не вдалося отримати PIN-код або seed-фразу з викраденого пристрою. Всі критично важливі активи, що знаходяться в елементі безпеки, захищені, – пише компанія.

Не турбуйтеся, ваші криптовалютні активи, як і раніше в безпеці».

Зокрема, фізичну модифікацію гаманця Ledger Nano S з подальшою установкою шкідливого ПЗ на комп’ютер жертви і можливістю підписання транзакцій після введення PIN-коду вони називають «непрактичної».

  • «Цілеспрямований хакер, безумовно, буде використовувати більш ефективні прийоми, наприклад, встановить камеру, щоб зафіксувати PIN-код в момент його введення користувачем».

Згідно з твердженням компанії, отримання фізичного доступу до пристрою і встановлення шкідливого ПЗ на комп’ютер жертви – це дуже складна процедура, яка до того ж вимагає від хакера очікувати ініціації транзакції самим користувачем, тому навряд чи хтось візьметься за його реалізацію. У той же час, вони не заперечують, що це можливо.

Інший сценарій, де дослідники встановили власну прошивку на мікропроцесор, дійсно дозволяє перевести пристрій в режим відладки, зазначає Ledger, додаючи, що цим можливості передбачуваного зловмисника, швидше за все, обмежуються.

«Вони заявили, що виявили спосіб обходу перевірки мікропроцесора, але не показали, як використовувався сам баг».

Аналогічним чином розробники коментують витяг PIN-коду з пристрою Ledger Blue за допомогою атаки типу «контрольоване машинне навчання».

«Ця атака, безумовно, дуже цікава, він вона не дозволяє отримати PIN-код в реальних умовах, – пише компанія.

Для вирішення проблеми нами була впроваджена рандомизированная клавіатура, за допомогою якої здійснюється введення PIN-коду. Знову ж, простіше встановити камеру, щоб зафіксувати PIN-код, коли його вводить користувач».

Також Ledger розкритикував команду wallet.fail за те, що вони вирішили публічно показати уразливості їх пристроїв на конференції, а не вдалися до програми з вилову багів, передбаченої для таких випадків.

«Ми вважаємо, що їх укладення не говорять про наявність яких-небудь вразливостей, придатних для застосування на практиці», – додає компанія.

Поділіться вашою думкою з цього питання у коментарях нижче.


Be First to Comment

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

code