ledger-wallet

Производитель популярных аппаратных кошельков для хранения криптовалют Ledger отреагировал на презентацию команды wallet.fail, заявившей о выявлении нескольких векторов атак на его устройства.

«Им не удалось извлечь PIN-код или seed-фразу из похищенного устройства. Все критически значимые активы, находящиеся в элементе безопасности, защищены, – пишет компания. – Не беспокойтесь, ваши криптовалютные активы по-прежнему в безопасности».

В частности, физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода они называют «непрактичной».

«Целеустремлённый хакер, определённо, будет использовать более эффективные приёмы, например, установит камеру, чтобы зафиксировать PIN-код в момент его ввода пользователем».

Согласно утверждению компании, получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая к тому же требует от хакера ожидать инициации транзакции самим пользователем, поэтому вряд ли кто-то возьмётся за его реализацию. В то же время, они не отрицают, что это возможно.

Другой сценарий, где исследователи установили собственную прошивку на микропроцессор, действительно позволяет перевести устройство в режим отладки, отмечает Ledger, добавляя, что этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.

«Они заявили, что выявили способ обхода проверки микропроцессора, но не показали, как использовался сам баг».

Аналогичным образом разработчики комментируют извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».

«Эта атака, определённо, очень интересна, он она не позволяет извлечь PIN-код в реальных условиях, – пишет компания. – Для решения проблемы нами уже была внедрена рандомизированная клавиатура, с помощью которой осуществляется ввод PIN-кода. Опять же, проще установить камеру, чтобы зафиксировать PIN-код, когда его вводит пользователь».

Также Ledger раскритиковал команду wallet.fail за то, что они решили публично показать уязвимости их устройств на конференции, а не прибегли к программе по отлову багов, предусмотренной для таких случаев.

«Мы считаем, что их заключения не говорят о наличии каких-либо уязвимостей, пригодных для применения на практике», – добавляет компания.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram. 
Обсудить актуальные новости и события на Форуме