Ledger Nano S „хакнат“ от 15-годишен UK гений

ВЪПРЕКИ ЧЕ СИГНАЛИЗИРА КОМПАНИЯТА, LEDGER НЕГЛИЖИРАТ ПРОБЛЕМА

Един от двата най-популярни хардуерни крипто портфейли – Ledger Nano S – беше „хакнат“ от 15-годишен тийнейджър. За щастие, „хакерът“ всъщност е гениален крипто ентусиаст, който просто е открил проблем в сигурността на устройството и дори е предупредил за това производителя на устройството и то още преди месеци.

Saleem Rashid е експерт по кибер-сигурност – въпреки крехката си тийнейджърска възраст. Някъде през ноември миналата година, живеещият във Великобритания юноша открива потенциална „дупка“ в сигурността на смятания дотогава за непробиваем хардуерен крипто портфейл Ledger Nano S.

Проблемът, който Рашид открива, е свързан с микроконтролера на устройството. Потенциално всеки, които препродава Ledger Nano S би могъл да препрограмира софтуера (firmware) на микроконтролера, така че да нулира паролата (recovery phrase) и по този начин впоследствие да се добере и до личните ключове (private keys) на съхраняваните в него крипто активи.

Много често такива устройства се купуват не директно от сайта на производителя, а през най-различни други канали. В началото на годината нашумя случая с момче,  което закупило своя Ledger Nano S от eBay и впоследствие намира портфейла си изпразнен до дупка от (както се разбира по-късно) измамника продавач. Оказва се, че (пре)продавачът се е изхитрил да сложи готова парола (въпросната recovery phrase или 12 произволно генерирани от самото устройство – но в случая, написани наготово от мошеника – думи) и така по-късно източва крипто активите на нищо неподозиращия си клиент на стойност 25 хиляди британски лири.

Но това, както се казва, е проблем на „задкормлиното устройство“, докато проблемът, открит от Рашид е чисто хардуерен.

Момчето най-добросъвестно пише до техническия директор (CTO) на Ledger и го информира за откритието си. От компанията, обаче, не взимат никак насериозно проблема, описан им от Рашид и в обновения фърмуер, излязал на 6 март, не са взети мерки за запушване на дупката в сигурността.

Нещо повече, главният изпълнителен директор (CEO) на Ledger (някой си Eric Larchevêque) си позволява да коментира тревожните публикации в Reddit като нарича въпросния проблем с тяхното устройство „пълен FUD“.

Това безхаберие принуждава Saleem Rashid да публикува в сайта си подробна статия с описание на проблема и дори видео, в което демонстрира как може да се подмени паролата.

В края на статията си Рашид описва накратко и комуникацията си с компанията производител и дава връзка към пълния архив на въпросната кореспонденция.

Преди време, талантливият тийнейджър открива потенциална дупка в сигурността и на другия популярен хардуерен портфейл – Trezor. По същия начин, момчето първо информира компанията производител, но за разлика от сегашната реакция на конкурента им, от SatoshiLabs веднага взимат мерки проблема да бъде отстранен, а техния CEO Marek Palatinus лично похвалва Рашид публично, заявявайки:

„Неговото нестандартно мислене и творческия му подход ни помогнаха да подобрим още повече сигурността на нашия продукт“.

ИЗТОЧНИК: CCN

За Natoshi Sakamoto 23 Articles
Казвам се Пламен Петров и съм основател и автор на Kriptonomika.com - а псевдонима Натоши Сакамото избрах като леко намигване, но и признание към легендарния създател на Bitcoin, Satoshi Nakamoto.