Sinabi ng Ledger na kamakailan-lamang na walang nakitang mga kahinaan sa mga hardware wallet nito ay hindi kritikal sa isang opisyal na post ng blog na Medium noong Disyembre 28.
Kahapon sa 35C3 Refreshing Memories conference sa Berlin, sinabi ng mga mananaliksik na na-hack nila ang Trezor One, Ledger Nano S at Ledger Blue cryptocurrency wallet.
Sa post, ang kumpanya ay nagpapaliwanag na mayroong "tatlong landas sa pag-atake na maaaring magbigay ng impresyon na ang mga kritikal na kahinaan ay natuklasan," ngunit ayon sa mga ito "hindi ito ang kaso."
Ang dahilan kaya sinasabi ng Ledger na ang kahinaan ay hindi kritikal na "hindi sila nagtagumpay na kunin ang anumang binhi o PIN sa isang ninakaw na aparato" at "sensitibong mga asset na nakaimbak sa Secure Element ay mananatiling ligtas."
Ayon sa kumpanya, ang kahinaan ng Ledger Nano S "ay nagpakita na ang pisikal na pagbabago sa Ledger Nano S at pag-install ng malware sa PC ng biktima ay maaaring pahintulutan ang malapit na magsasalakay na mag-sign ng isang transaksyon pagkatapos maipasok ang PIN at inilunsad ang Bitcoin (BTC) app. "
Ito, ang claims ng Ledger, ay "lubos na hindi praktikal, at ang isang motivated hacker ay tiyak na gumamit ng mas mahusay na mga trick." Habang ang mga mananaliksik na inangkin na ang kahinaan ay nagpapahintulot sa kanila na "magpadala ng malisyosong mga transaksyon sa ST31 [ang secure chip] Ang Ledger ay nagkukulang nito, na nagsasabi:
"Ang kanilang firmware ay nagpapatakbo ng ahas sa MCU sa Bootloader mode. Nangangahulugan ito na kailangan mong itulak ang kaliwang pindutan sa boot at ang Secure Element ay hindi kahit na mag-boot. "
Sinabi din ng Ledger na ang pagtatanghal ng Ledger Blue atake ay "medyo hindi makatotohanang at hindi praktikal," na nag-aangkin na "ang posisyon ng receiver at ang attacked device ay dapat na eksakto ang parehong, ang posisyon ng USB cable ay mahalaga rin (bilang ito ay gumaganap bilang isang antena). "
Ang post ay nagsabi na "kung ang mga kondisyon ay hindi eksakto ang parehong, ang makina ng pag-aaral ng makina ay hindi gagana ng maayos." Dahil dito, ang Kongreso ay nagtapos:
"Ang pag-atake na ito ay tiyak na kawili-wili, ngunit hindi pinapayagan na hulaan ang PIN ng isang tao sa tunay na kundisyon (ito ay nangangailangan na hindi mo ilipat ang iyong aparato sa lahat)."
Higit pa rito, dahil sa kahinaan na ito, sinabi ng Ledger na ang susunod na update ng firmware ng Ledger Blue ay nagtatampok ng randomized keyboard para sa pin.
Sinabi rin ng kumpanya na "ikinalulungkot nila na hindi sinusunod ng mga mananaliksik ang mga karaniwang prinsipyo ng seguridad na nakabalangkas sa programang Bounty ng Ledger." Ayon sa Ledger "sa mundo ng seguridad, ang karaniwang paraan upang magpatuloy ay responsableng pagbubunyag. Ito ang modelo kung saan ang isang kahinaan ay isiwalat lamang pagkatapos ng isang makatwirang tagal ng panahon na nagpapahintulot para sa kahinaan na patched pati na rin upang pagaanin ang mga panganib para sa mga gumagamit. "
Noong Nobyembre, ang Ledger ay nag-anunsyo ng pagpapalawak nito sa New York upang maitaguyod ang kanyang institutional custody offering Ledger Vault. Bukod dito, ang kumpanya ay kamakailan ay nilagdaan ang isang kasunduan sa crypto payment startup Crypto.com upang pahintulutan ang mga gumagamit na magbayad para sa mga produkto nito gamit ang cryptocurrencies.
PINAGMULAN
. 
. 
. 
. 
. 
. 
Shop
Topic: Ledger: Wallet Vulnerabilities Natuklasan Kamakailan Hindi Kritikal (Read 1112 times)
Latest news: