Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах

0 Время чтения: 3 мин. Геннадий Антипов

Производитель аппаратных кошельков Ledger, который в прошлом году продал 1 млн. этих устройств, предупреждает своих пользователей об их уязвимости. Пока сообщений об атаках нет, но компания считает угрозу достаточно реальной. 3 февраля Ledger призвала пользователей аппаратных криптовалютных кошельков предпринять некоторые шаги, чтобы не стать жертвами атак с имитацией адресов.

Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. USB-устройства холодного хранения исключают векторы атак, связанные с подключением к сети. Однако для отправки средств или передачи адреса получателя устройство должно быть подключено к компьютеру. Вот здесь исследователи и обнаружили уязвимость, которая подвергает опасности работу кошельков Ledger. В недавно опубликованном отчёте говорится, как может происходить MiTM-атака:

Кошельки Ledger генерируют адрес получателя и показывают его на компьютере при помощи кода JavaScript… Вредоносное программное обеспечение может просто заменить код, создающий адрес получателя, в результате чего все депозиты будут отправлены на кошелёк злоумышленника.

Если атака будет совершена, жертва этого даже не заметит. Ситуация осложняется тем, что вредоносное ПО может относительно легко изменить адрес получателя, используя файлы кошелька Ledger, которые находятся в папке AppData. В отчёте говорится, что «вредоносным программам достаточно заменить одну строку кода, а с Python для этого потребуется менее 10 строк».

Компания объяснила в Твиттере, что есть способ проверки правильности адреса получателя: необходимо всегда проверять этот адрес, нажимая кнопку с изображением монитора на экране компьютера или другого устройства.

 

Это эффективное, но не отказоустойчивое решение, так как оно зависит от поведения пользователя, который должен помнить о процедуре при совершении транзакций. В отчёте также говорится, что «правильным решением было бы заставлять пользователя проверять адрес получателя перед каждой транзакцией — так же, как при одобрении каждой транзакции».

Такой подход теперь используется в аппаратных кошельках Trezor, которые требуют двухфакторной аутентификации (2FA) для доступа к адресу получателя. Скорее всего, Ledger последует этому примеру при обновлении своих устройств. Считается, что использовать аппаратные кошельки безопаснее, чем просто оставлять средства для хранения на централизованной бирже. Однако, как показывает ситуация с Ledger, никакие решения не следует считать полностью надёжными.

Хотите больше новостей? Facebook. Быстрее всех? Telegram и Twitter. Подписывайтесь!

Комментарии (0)

Новости о цифровых валютах, финтех-трендах и финансовых инновациях

CoinSpot.io - крупнейший в рунете ресурс о цифровых валютах, финтех-трендах и финансовых инновациях. Мы рассказываем о технологиях, стартапах и предпринимателях, формирующих облик финансового мира. Венчурные инвестиции, p2p и цифровые технологии, криптовалюты, аналитика и обзоры - все, что нужно знать, чтобы быть в тренде и зарабатывать.

Полное или частичное использование материалов сайта разрешается только с письменного разрешения редакции, при этом ссылка на источник обязательна!

Подпишитесь на Email рассылку о новые статьях и важных новостях от Coinspot.io
Подпишись и будь в курсе самого главного.

Советы экспертов, актуальные комбо, постоянные розыгрыши.

Новостная выжимка в понятном формате. Мы бережем ваше время.