Monday , 19 February 2018

Уразливість загрожує мільйонам апаратних гаманців Ledger

Згідно зі звітом, опублікованим в суботу, 3 лютого, компанія Ledger виявила вразливість, яка впливає на всі її пристрої, і може привести до того, що користувачі втратять свої кошти.

Апаратні гаманці вважаються одним з найбезпечніших способів зберігання біткоінів і інших криптовалют. Пристрої зберігання даних USB виключають тип векторів атак, пов’язаних з підключенням до мережі. Але для відправки коштів або видачі адреси одержувача апаратний гаманець повинен бути підключений до пристрою з підтримкою Інтернету, і дослідники виявили уразливість, яка впливає на пристрої Ledger на даному етапі.

Згідно зі звітом, атака «людина в середині» (man in the middle) може бути виконана, коли користувач намагається створити адресу для отримання біткоінів в свій гаманець Ledger. Якщо комп’ютер, який використовується в цьому процесі, заражений шкідливим ПЗ, зловмисник може таємно замінити код, відповідальний за створення адреси, в результаті чого «всі майбутні депозити будуть відправлені зловмисникові».

Як захистити себе

На щастя для власників гаманців, Ledger також поінформував, як уникнути атаки «людина в середині». Згідно зі звітом, користувачі повинні використовувати «undocumented» функцію гаманця, яка відображає приймаючу адресу на фізичному дисплеї гаманця.

Натиснувши кнопку монітора в лівому нижньому кутку меню «Отримати біткоіни» і підтверджуючи адресу на дисплеї апаратного гаманця кожного разу, коли він генерується новий, користувачі можуть переконатися, що адреса не була змінена.

У звіті далі вказується, що ця функція не є обов’язковою і не застосовується у власному інтерфейсі Ledger, що перекладає головну відповідальність за безпеку коштів на самих користувачів.

Апаратні гаманці вважаються одним з найбезпечніших способів зберігання криптовалюти, на відміну від їх зберігання в онлайн-обміні або гаманці.

Однак, більше мільйона користувачів, що використовують Ledger, постраждали від нещодавно виявленого вектора атаки, тому стає ясно, що навіть наявність апаратного гаманця не “робить вас непереможним», за словами компанії.

Leave a Reply

Your email address will not be published. Required fields are marked *