Sledujte nás aj na

Hardvérové peňaženky sú vo všeobecnosti považované za najbezpečnejšiu formu úschovy kryptomien. Avšak 15 ročný mladík z Veľkej Británie odhalil bezpečnostnú chybu v jednej z najpopulárnejších hardvérových peňaženiek – Ledger Nano S.

15 ročný Saleem Rashid na svojom blogu opísal kód, ktorý mu umožnil prístup cez „zadné dvierka“ do hardvérovej peňaženky Ledger Nano S, ktorej bolo doposiaľ predaných viac ako miliónov kusov po celom svete.

„Táto chyba umožňuje útočníkovi vykradnúť peňaženku,“ povedal Saleem.

Spoločnosť, ktorá stojí za vývojom peňaženky uviedla, že vydala aktualizáciu, ktorá bezpečnostnú chybu opravuje. Predpokladá sa, že chybou trpí aj ďalší model, Ledger Nano Blue. Šéf bezpečnostnej spoločnosti Charles Guillemet pre časopis Quartz uviedol, že aktualizácia pre Nano Blue nebude k dispozícii ešte niekoľko týždňov.

Bezpečnostná chyba

Kryptomeny ako Bitcoin používajú šifrovacie metódy s verejným kľúčom na ochranu finančných prostriedkov. Užívatelia môžu uloženými prostriedkami disponovať len vtedy, ak majú prístup k súkromnému kľúču. Hardvérové ​​peňaženky ukladajú tieto súkromné ​​kľúče a môžu byť pripojené k počítaču prostredníctvom USB portu.

Spomínaná bezpečnostná chyba sa zameriava na mikroprocesory zariadenia. Ledger využíva dva mikroprocesory, z ktorých jeden ukladá súkromný kľúč, zatiaľ čo druhý funguje ako jeho proxy na podporu funkcií displeja a rozhrania USB. Mikroprocesor, ktorý ukladá súkromný kľúč je dobre zabezpečený. Druhý mikroprocesor, ktorý komunikuje s displejom už tak dobre zabezpečený nie je. Obidva mikroprocesory si však medzi sebou neustále predávajú informácie. Rashid zistil, že hacker dokáže narušiť softvér v menej zabezpečenom mikroprocesore a spustiť na ňom škodlivý kód bez toho, aby bol detekovaný. Tento kód potom hackerovi posiela informácie o peňaženke vrátane súkromného kľúča.

Aby táto bezpečnostná chyba mohla byť zneužitá, zariadenie sa musí dostať do rúk hackera pred tým, ako ho získa samotný používateľ. Komprimované zariadenie potom odosiela dáta hackerovi, ktorý vďaka ním dokáže prevziať kontrolu nad financiami v peňaženke. Z tohto dôvodu sú ohrozené hlavne zariadenia, ktoré sa ku koncovým používateľom dostali skrz tretiu stranu, teda zariadenia zakúpené cez neoficiálne, neautorizované predajne a online obchody, zariadenia z bazárov poprípade od súkromného alebo maloobchodného predajcu. Kedže zariadenia objednané z oficiálnej stránky alebo distribútora sú dodávané priamo zákazníkom, nemali by byť ohrozené.

Neadekvátna reakcia

Rashid vo svojom blogu uviedol, že pred niekoľkými mesiacmi informoval o chybe priamo Ledger. Rashid trvdí, že mu za jeho úsilie nebola vyplatená odmena, ktorá sa bežne vypláca šikovným osobám, ktoré upozornia na chyby v bezpečnosti. Rashid  sa rozhodol chybu zverejniť po tom, čo generálny riaditeľ spoločnosti Ledger Eric Larchevêque na sociálnej sieti Reddit uverejnil pripomienky, ktoré podľa teenagera „boli plné technických nepresností“.

„V konečnom dôsledku som začal mať obavy, že táto chyba v systéme nebude správne interpretovaná zákazníkom,“ napísal Saleem.

Vo svojich komentároch na sociálnej sieti Reddit generálny riaditeľ spoločnosti Ledger Larchevêque napísal, že otázka bezpečnosti bola „značne prehnaná“.

Panika sa rozšírila medzi používateľov, ktorí diskutovali na Reddite. Eric Larchevêque vo svojom príspevku tínedžera tiež obvinil, že vytvára „masívny FUD“ a že Rashid sa pokúšal upriamiť pozornosť na seba, keďže podľa neho problém nebol až tak vážny.

FUD – skratka z anglickej frázy Fear, uncertainty and doubt – Strach, neistota a pochybnosti. Väčšinou sa jedná o falošné správy, ktoré majú za účel odradiť investorov od určitej kryptomeny/investície/služby)

Rashid vo svojom Tweete napísal, že vývojári Ledger-u nebrali chybu až tak vážne.

„Saleema zjavne rozrušilo, že túto chybu nepovažujeme za tak závážnú,“ napísal riaditeľ spoločnosti Ledger Larchevêque.

Dňa 20. marca vydala Ledger ďalšiu aktualizáciu, ktorá opravila tri problémy , ktoré objavili programátori Timothée Isnard, Saleem Rashid a Sergei Volokitin. Zaujímavé je, že Rashid odmietol toto vyhlásenie, pretože podpísanie zmluvy o odmene od Ledgeru by mu zakázalo zverejnenie technickej správy. Pokiaľ ide o nové aktualizácie, Rashid vysvetlil, že nové opravy nie sú úplne odolné voči hackerským útokom.

Talentovaný mladík

Teenager, ktorý žije v Spojenom kráľovstve, predtým odhalil problém v hardvérovej peňaženke TREZOR One. Problém bol vyriešený zdravou komunikáciou medzi oboma stranami. Generálny riaditeľ spoločnosti SatoshiLabs Marek Palatinus dokonca chválil Rashida za svoju prácu.

„Jeho mimoriadne myslenie a tvorivý prístup nám pomáhajú vytvoriť ešte bezpečnejší produkt,“ povedal Marek Palatinus.

Záver

Ledger vo svojej aktualizácii bezpečnostnú chybu pre model Nano S už opravil. Napriek tomu ale odporúčame kupovať hardvérové peňaženky len od oficiálnych a autorizovaných predajcov.

Zdroj: bbc.com



Zaujímate sa o dianie okolo kryptomien a chceli by ste sa podieľať na tvorbe obsahu KryptoPortalu? Kontaktujte nás pomocou kontaktného formulára!

Páčia sa Vám naše články a príspevky?
Podporte nás a prispejte tak k rozvoju Vášho obľúbeného informačného média. Ďakujeme!

ETH: 

0xa3B90C2d50B79Eaf466Ca3f2080fD15E0764c5A3

BTC:
15wVejhngqJbGrYhu9fF9ydKaNYSSHwWJd

loading...