ÚJABB BIZTONSÁGI RÉST TALÁLTAK A LEDGER NANO S TÁRCÁN

A Ledger firmware frissítéssel reagál

Egy független biztonság-technikai kutató, Saleem Rashid, aki egyébként 15 éves, talált egy korábban nem ismert támadási felületet a Ledger Nano S tárcán.

“A sebezhetőség a Ledger egyedi felépítéséből adódik /…/.” – írja Rashid blog bejegyzésében. „Egy támadó még az előtt ki tudja használni ezt a sebezhetőséget, mielőtt a felhasználó hozzájut az eszközhöz. Így a támadó ellophatja a privát kulcsokat az eszközről fizikailag (azaz magát az eszközt használva), vagy bizonyos körülmények között távolról.“

Egy 1.3.1-es vagy korábbi firmware-rel futó Ledger Nano S esetén – az eszközzel fizikailag érintkezve – az egyik lehetőség a tárca feltörésére még az előtt kínálkozik, hogy sor kerülne a „seed” beállítására. Rashid úgy utal erre, mint „bolti támadás /…/. Nem kell hozzá rosszindulatú program a cél számítógépen, és arra sincs szükség, hogy a felhasználó megerősítsen egy tranzakciót.”

Rashid úgy véli, hogy a nem-hozzáértő felhasználók nem könnyen észlelik, hogy az eszközükkel valaki az „első” használat előtt érintkezett-e már. Ezt azért sem könnyű észrevenni, mert a Ledger tárcák csomagolásán nincs felnyitás védelmet biztosító zárjegy.

A Ledger megerősítette, hogy valós a biztonsági rés, de hangsúlyozták, hogy a probléma „az egész iparágat érinti”.

„Minden hardver tárca érintett” – mondta egy Ledger szóvivője. „Ez nem az eszköz sebezhetőségéről szól, hanem arra kell emlékeztetőül szolgálnia számunkra, hogy nem bízhatunk meg abban, amit a számítógépünk képernyőjén látunk.”

A bejelentett biztonsági probléma óta a Ledger kiadott egy firmware frissítést (1.4.1), amely orvosolja ezt a biztonsági rést a Nano S esetében.

Maga Rashid is hangsúlyozza cikkében a frissítés fontosságát: „Mint biztonság technikai kutató, javaslom, hogy mindenki végezze el a frissítést amint lehet. A cikkemből nem is tűnik ki, hogy mekkora veszélyt jelenthet ez a probléma.”

A firmware frissítés két hete jött ki, de egész biztos, hogy sok olyan felhasználó van, aki még nem végezte el a Ledger Nano S tárcája frissítését. Ha közéjük tartozol, javasoljuk, hogy látogass el a Ledger weboldalára a frissítésért:

https://www.ledger.fr/2018/03/06/new-firmware-update-1-4-1-available-for-the-nano-s/

 

Forrás: https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/

https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency/

Zsolt Balló