Виробник апаратних гаманців Ledger випустив оновлення програмного забезпечення, відновлює ряд прогалин у системі безпеки. Уразливості були виявлені трьома незалежними програмістами, один з яких, Салім Рашид (Saleem Rashid) – п’ятнадцятирічний юнак з Британії. Виявлений їм вектор атаки є апаратним і не обмежується пристроями Ledger, що ускладнює боротьбу з ним тільки за допомогою програмних методів.
20 березня компанія Ledger запустила оновлену версію 1.4.1, супроводивши реліз статті в блозі, гарантує надання ретельного аналізу проблем безпеки»:
«Дотримуючись принципів прозорості та відповідальності при розкритті інформації, ми надаємо повний докладний аналіз усунених векторів атак, які виконує прошивка 1.4, і про яких вперше повідомили три дослідника комп’ютерної безпеки. Оскільки публікація технічних деталей може підвищити рівень загрози для не відновлених пристроїв, ми настійно рекомендуємо користувачам оновити».
Найбільшу увагу привернув до себе виявлений Салімом Рашидом шкідливий код, як через юного віку дослідника, так і з-за його публікації, що містить докладне пояснення того, яким чином йому вдалося знайти проблему.
«Атакуючий може використати цю уразливість для злому пристрою до того, як користувач отримає, або вкрасти з пристрою закриті ключі фізично, або, в деяких випадках, віддалено, – пояснює Рашид, – я продемонстрував цю атаку на реальному пристрої Ledger Nano S. Крім того, кілька місяців тому я відправив вихідний код в компанію Ledger, щоб вони могли його відтворити».
Ентузіаст відмовляється від винагороди
Компанія Ledger заявляє, що фахівців з безпеки попросили підписати Угоду про винагороду як одна з умов оплати їх праці, і в той же час зазначили, що це не заважає їм публікувати власні звіти. У статті написано, що імовірно всі три спеціаліста з радістю прийняли пропозицію, проте це не так. Насправді Рашид відмовився від винагороди, пояснивши це наступним чином:
«Я не отримував винагороди від Ledger, так як їх угоду про розкриття інформації не дає мені право публікувати технічний звіт. Я вибрав для себе публікацію звіту замість отримання винагороди від Ledger, головним чином тому, що керівник Ledger Ерік Ларчевек (Eric Larchevêque) зробив кілька коментарів на Reddit, які були сповнені технічних неточностей. В результаті я занепокоївся, тому що уразливість можуть пояснити клієнтам не зовсім правильно».
Юний програміст вважає, що Ledger хочуть зменшити серйозність виявленої їм уразливості. Публікація повного і відвертого звіту про те, як він зламав гаманець Ledger і відмова від права на винагороду, ніяк не зашкодило його репутації. Салиим Рашид розумний не по роках, а його стаття з эксплойту довга, але буде цікава всім, що захоплюються цим питанням.
Гаманці в безпеці
У всій цій плутанині залишається нез’ясованим питання безпеки гаманців Ledger. Викладач криптографії Метью Грін (Matthew Green) опублікував в Twitter відповідь на публікацію Рашида, в якому він розглянув складність повного запобігання апаратних атак цього типу. В кінці публікації він запевнив:
«Ніщо у публікації або виявленої загрози не говорить про те, що ви повинні злякатися цих вразливостей або що вам потрібно перейти на інші гаманці. Просто дотримуйтесь обережності».
Користувачам Ledger варто оновитися до останньої версії прошивки, проте приводу для занепокоєння немає. Атаки, подібні тій, яку продемонстрував Салім Рашид, насамперед, показують складність створення пристрою, несприйнятливою до всіх відомих видів атак.
Thanks!
Our editors are notified.