Источник Правда.Ру

Юный программист "зашил дырку" в кошельке Ledger

Компания-производитель электронных кошельков Ledger выпустила обновление ПО, восстанавливающее ряд пробелов в системе безопасности. Уязвимости нашли три не связанных между собой независимых программиста.

Самый значимый вклад в устранение "дыр" сделал  Салим Рашид (Saleem Rashid) - пятнадцатилетний юноша из Британии. Он нашел "вектор атаки", который является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.

20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление "тщательного анализа проблем безопасности":

"Следуя принципам прозрачности и ответственности при раскрытии информации, мы предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО".

Наибольшую заботу инженеров компании вызывает обнаруженный Салимом Рашидом вредоносный код, о котором юный программист подробно написал и дал объяснение того, каким образом ему удалось найти проблему.

"Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код в компанию Ledger, чтобы они могли его воспроизвести".

Компания Ledger заявляет, что специалистов по безопасности попросили подписать Соглашение о вознаграждении как одно из условий оплаты их работы, и в то же время отметили, что это не мешает им публиковать собственные отчеты.

Салим Рашид отказался от вознаграждения, объяснив это следующим образом: "Я не получал вознаграждения от Ledger, так как их соглашение о раскрытии информации не дает мне право публиковать технический отчет. Я выбрал для себя публикацию отчета вместо получения вознаграждения отLedger, главным образом потому, что руководитель Ledger Эрик Ларчевек (Eric Larchevêque) сделал несколько комментариев на Reddit, которые были полны технических неточностей. В результате я забеспокоился, потому что уязвимость могут объяснить клиентам не совсем правильно".

Юный программист считает, что Ledger хотят уменьшить серьезность обнаруженной им уязвимости. Во всей этой путанице остается невыясненным вопрос безопасности кошельков Ledger. Преподаватель криптографии Мэтью Грин (Matthew Green) опубликовал в Twitter ответ на публикацию Рашида, в котором он рассмотрел сложность полного предотвращения аппаратных атак данного типа.

В конце публикации он заверил: "Ничто в публикации или обнаруженной угрозе не говорит о том, что вы должны испугаться этих уязвимостей или что вам нужно перейти на другие кошельки. Просто соблюдайте осторожность". То есть просто обновить кошелек Ledger до последней версии прошивки.

Атаки, подобные той, которую продемонстрировал Салим Рашид, прежде всего, показывают сложность создания устройства, невосприимчивого ко всем известным видам атак.

Встройте Новости криптовалют от Правды.Ру в свой информационный поток, если хотите получать оперативные комментарии и новости:

Подпишитесь на наш канал в Яндекс.Дзен

Добавьте Новости криптовалют от Правды.Ру в свои источники в Яндекс.Новости или News.Google

Также будем рады вам в наших сообществах в ВКонтакте, Фейсбуке, Одноклассниках, Google+...

 

Районный суд города Грозный рассмотрел и удовлетворил иск прокуратуры Чеченской Республики к «Газпром межрегионгаз Грозный», в котором была указана необходимость снятия с населения долга суммой более 9 миллиардов рублей за использование природного газа.

Жителям Чечни списали все долги за газ из-за угрозы протестов
Комментарии
Хотите "загнать Кавказ к лучине"? Не выйдет у вас!
Противники передачи Курил Японии вышли на митинг в Москве
Соцсети: врач уволена за грубость и отказ в приеме пациента
Соцсети: врач уволена за грубость и отказ в приеме пациента
Соцсети: врач уволена за грубость и отказ в приеме пациента
Собаки москвичей живут лучше пенсионеров из провинции
Новое в противоракетной обороне России
Владимир Путин возглавил рейтинг доверия населения политикам
Противники передачи Курил Японии вышли на митинг в Москве
Владимир Путин возглавил рейтинг доверия населения политикам
Журналистку из Финляндии расстроил вкус российских продуктов
Сторонники "новой церкви" на Украине пытались сорвать УПЦ освящение воды
В Эстонии предложили направить боевые ракеты на Санкт-Петербург
За "цветной революцией" во Франции стоят США?
"Они не отсталые": журналистов Handelsblatt удивила Россия
Журналистку из Финляндии расстроил вкус российских продуктов
Российские средства ПВО сбили израильские ракеты в Сирии
Российские средства ПВО сбили израильские ракеты в Сирии
Противники передачи Курил Японии вышли на митинг в Москве
NASA отказывается финансировать строительство космического корабля "Союз"
NASA отказывается финансировать строительство космического корабля "Союз"