Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах
-
Производитель аппаратных кошельков Ledger, который в прошлом году продал 1 млн. этих устройств, предупреждает своих пользователей об их уязвимости. Пока сообщений об атаках нет, но компания считает угрозу достаточно реальной. 3 февраля Ledger призвала пользователей аппаратных криптовалютных кошельков предпринять некоторые шаги, чтобы не стать жертвами атак с имитацией адресов.
Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. USB-устройства холодного хранения исключают векторы атак, связанные с подключением к сети. Однако для отправки средств или передачи адреса получателя устройство должно быть подключено к компьютеру. Вот здесь исследователи и обнаружили уязвимость, которая подвергает опасности работу кошельков Ledger. В недавно опубликованном отчёте говорится, как может происходить MiTM-атака:
Кошельки Ledger генерируют адрес получателя и показывают его на компьютере при помощи кода JavaScript… Вредоносное программное обеспечение может просто заменить код, создающий адрес получателя, в результате чего все депозиты будут отправлены на кошелёк злоумышленника.
Если атака будет совершена, жертва этого даже не заметит. Ситуация осложняется тем, что вредоносное ПО может относительно легко изменить адрес получателя, используя файлы кошелька Ledger, которые находятся в папке AppData. В отчёте говорится, что «вредоносным программам достаточно заменить одну строку кода, а с Python для этого потребуется менее 10 строк».
Компания объяснила в Твиттере, что есть способ проверки правильности адреса получателя: необходимо всегда проверять этот адрес, нажимая кнопку с изображением монитора на экране компьютера или другого устройства.
Производитель аппаратных кошельков Ledger, который в прошлом году продал 1 млн. этих устройств, предупреждает своих пользователей об их уязвимости. Пока сообщений об атаках нет, но компания считает угрозу достаточно реальной. 3 февраля Ledger призвала пользователей аппаратных криптовалютных кошельков предпринять некоторые шаги, чтобы не стать жертвами атак с имитацией адресов.
Аппаратные кошельки считаются одним из самых безопасных способов хранения биткоинов и других криптовалют. USB-устройства холодного хранения исключают векторы атак, связанные с подключением к сети. Однако для отправки средств или передачи адреса получателя устройство должно быть подключено к компьютеру. Вот здесь исследователи и обнаружили уязвимость, которая подвергает опасности работу кошельков Ledger. В недавно опубликованном отчёте говорится, как может происходить MiTM-атака:
Кошельки Ledger генерируют адрес получателя и показывают его на компьютере при помощи кода JavaScript… Вредоносное программное обеспечение может просто заменить код, создающий адрес получателя, в результате чего все депозиты будут отправлены на кошелёк злоумышленника.
Если атака будет совершена, жертва этого даже не заметит. Ситуация осложняется тем, что вредоносное ПО может относительно легко изменить адрес получателя, используя файлы кошелька Ledger, которые находятся в папке AppData. В отчёте говорится, что «вредоносным программам достаточно заменить одну строку кода, а с Python для этого потребуется менее 10 строк».
Компания объяснила в Твиттере, что есть способ проверки правильности адреса получателя: необходимо всегда проверять этот адрес, нажимая кнопку с изображением монитора на экране компьютера или другого устройства.
-
сначала поспешили продать как можно больше устройств, а теперь сообщают об уязвимости. вангую, что скоро появится новая версия без этого бага и люди будут ее покупать.
-
Какая-то непонятная шляпа: кошелек Ledger вроде не первый год как юзается многими пользователями и не было никаких траблов. А тут вдруг выясняется что в нем под систему безопасности заложена целая бомба ... :(
-
Это сообщение удалено! -
Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
Какая-то непонятная шляпа: кошелек Ledger вроде не первый год как юзается многими пользователями и не было никаких траблов. А тут вдруг выясняется что в нем под систему безопасности заложена целая бомба ... :(
Да там простой глюк, вы отправляете на свой адрес якобы деньги, а крот меняет там адрес на свой. И не одно устройство вам тут не поможет избежать этого, если вы сами внимательны не будите конечно.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio а если новый адрес будет отличаться всего лишь несколькими символами? вполне возможно, что вы и не заметите подмены. обычно сравнивают начало адреса и конец.
-
Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio а если новый адрес будет отличаться всего лишь несколькими символами? вполне возможно, что вы и не заметите подмены. обычно сравнивают начало адреса и конец.
Это вероятность одна из двойки в двадцать шестой степени. Так что такой вариант фантастика будет просто.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
Лучше самим найти ошибки и оповестить об этом пользователей, чем чтобы они нашли их сами. Временная антиреклама и самокритика, но хотя бы есть шанс оправдать свое честное имя и все исправить.
-
@markov угу... Как-то исправлять эту ошибку надо, а в случае с аппаратным кошельком, которым является Леджер, это куда сложнее, чем просто заплатку на сайт воткнуть.
-
@casio может такой вирус напишут, чтобы адреса похожие были и подмена не бросалась в глаза. хакеры не стоят на месте )
-
Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio может такой вирус напишут, чтобы адреса похожие были и подмена не бросалась в глаза. хакеры не стоят на месте )
Еще нужно будет такие же адреса получить в свой кошелек, а это дело не легкое.
https://t.me/tbooks -- моя крипто библиотека. Все книги о крипте, прямо из телеграмма, без рекламы и смс.
https://www.reg.ru/?rlink=reflink-5366741 Лучший регистратор доменных имен -
@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.
-
Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.
Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...
-
Участник @okela написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
Участник @ivan-ivanov написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@casio да, но вдруг у них будет такой метод. например повторная автоматическая генерация кошельков до определенного совпадения в адресе.
Этот вариант бесполезен, т.к. количество возможных комбинаций превышает пределы воображения ...
Это даже не пределы воображения ... это уже фантастика. Помню сыр такой какой то был.
-
@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь... -
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...Если кто то сможет так хеши под заказ делать, то им прямой путь в майнинг. Будут блоки без работы создавать, они же умеют хеши подгонять ))
-
@casio а я и не исключаю что один из альткоинов в действительности это и осуществляет :) а возможно и не один
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela и @casio
нет ничего не возможного... Всегда вопрос только в бюджете и во временных интервалах.. Тут же вообще ни бюджета большого не времени много не надо, а всего лишь виртуальная сеть, генератор адресов и скрипт проверяющий их на совпадения с существующими... В общем реализация затеи обойдется в райне одного битка при условии что сам ничего делать не будешь...Интересно из каких расчетов вы сделали вывод, что для данной задачи не нужен ни бюджет большой, ни длительный интервал решения ?
-
@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат
-
Участник @7ambrion написал в Производитель аппаратных кошельков Ledger нашёл уязвимость в своих устройствах:
@okela в расчетах учитывался как раз длительный интервал решения, а совершенствование это дополнительный бюджет и время... Но даже если будет откапываться один кашелек в неделю, это уже очень хороший результат
Вы хоть приблизительно представляете себе время на одну итерацию данной задачи ? :(
Общее количество биткойн-адресов ~2^160 штук. Для сравнения: песчинок на всех пляжах нашей планеты всего 2^63 штук !
