Hackelhető volt a Ledger Nano X, a fejlesztők befoltozák a biztonsági réseket

spot_img

A Kraken technikai csapata két biztonsági hibát fedezett fel a Ledger Nano X modelljében. A támadások végrehajtásához a még vadonatúj, nem üzembe helyezett tárcák vezérlő rendszerét (firmware) kellett meghackelni, így elsősorban azokat veszélyeztette, akik nem hivatalos forrásból szerezték be az eszközeiket.

A buggal kapcsolatos részleteket tegnap hozták nyilvánosságra, amivel egy időben a Ledger is jelezte, hogy már elérhető az ezeket kiküszöbölő hibajavítás.

Az első hackelési módszerrel azt lehetett elérni, hogy a Ledger Nano X a géphez csatlakoztatva billentyűzetként működjön és előre betáplált utasításokat hajtson végre, például megnyisson egy honlapot. A lenti videón például a Kraken honlapját nyitotta meg magától a wallet, de ez lehetett volna mondjuk egy hamis Ledger oldal is, ami a privát kulcsaik megadásra kérhette volna fel a felhasználókat.

Alap esetben a hardware nem tenne lehetővé egy ilyen módosítást, azonban a wallet az első üzembe helyezésre előtt úgynevezett hibajakeresési üzemmódban működött (debug mode), amit kihasználva egy hozzáértő belenyúlhatott a vezérlő program működésébe.

A másik támadási mód a Nano X-ben alkalmazott processzorok működésével állt összefüggésben. Bár a wallet internetes kommunikációját egy külön erre a célra kifejlesztett biztonsági egység vezérli, a tárcán található kijelző és nyomógombok működését egy másik, nem biztosított processzorra bízták. Egy erre telepített rosszindulatú vezérlő programmal ki lehetett iktatni ezek működését, vagyis le lehetett kapcsolni a Ledger kijelzőjét és nyomógombjait.

A Ledger alap esetben minden tranzakciós előtt arra kéri a felhasználót, hogy magán a fizikai walleten található gombokkal is erősítse meg azokat, ezzel biztosítva, hogy az interneten keresztül senkitől se lehessen ellopni az ezen tárolt értékeket. A Ledger kijelzőjének kikapcsolásával elérhető lett volna, hogy a felhasználó számítógépén megjelenítsenek egy olyan üzenetet, ami bizonyos gombok megnyomását kérte volna tőle és egy lopást lehetővé tevő tranzakció végrehajtására adott volna lehetőséget. Például:

“A Ledger kijelzője nem működik, kérem nyomja meg ezeket a gombokat, hogy újraindíthassuk a készüléket.”

A hibákkal kapcsolatban a Kraken felhívja rá a figyelmet, hogy hardveres tárcák vásárlása esetén mindig csak olyan eladóktól vásároljunk, akikben 100%-osan megbízunk (például magától a gyártótól), illetve ha bármilyen szokatlan dolgot tapasztalnánk azok működése során (például a kijelző kikapcsolását), legyünk nagyon óvatosak és vegyük fel a kapcsolatot az ügyfélszolgálattal.

spot_img
spot_img
spot_img
spot_img