De krantenkoppen zoemden met de ontdekking door een 15-jarige Saleem Rashid van een kwetsbaarheid die hij vond in Ledger-hardwareportefeuilles. Hij blogde er op 20 maart over.

Wat is Ledger en wat zijn hun hardware wallets? Grootboek, zei Krebs over beveiliging , een van de vele sites die de prestatie van de tiener in de gaten houden, is een bedrijf waarvan de producten zijn ontworpen om de sleutels die worden gebruikt voor het ontvangen of uitgeven van cryptocurrencies van de gebruiker fysiek te beveiligen.

Bijvoorbeeld, het bedrijf beschrijft zijn Ledger Nano S als "een Bitcoin, Ethereum en Altcoins hardware portemonnee, gebaseerd op robuuste veiligheidsfuncties voor het opslaan van cryptografische activa en het beveiligen van digitale betalingen. Het maakt verbinding met elke computer (USB) en sluit een veilig OLED-scherm in om elke transactie dubbel te controleren en te bevestigen met een enkele tik op de zijknoppen."

Dus, zoals Krebs uitlegde, "Hardwareportefeuilles zoals die worden verkocht door Ledger zijn ontworpen om de privésleutels van de gebruiker te beschermen tegen kwaadaardige software die zou kunnen proberen die inloggegevens van de computer van de gebruiker te verzamelen. De apparaten maken transacties mogelijk via een verbinding met een USB-poort op de computer van de gebruiker, maar ze onthullen de privésleutel niet aan de pc."

Is het hebben van privésleutels die via een USB-poort op een pc kunnen worden aangesloten de perfecte beveiliging of de perfecte storm? Iedereen die aan zo'n vraag dacht, werd aangetrokken door de blog van Rashid. Hij zei dat een aanvaller de kwetsbaarheid zou kunnen gebruiken om privésleutels van het apparaat te krijgen.

Krebs meldde dat Kenneth White, directeur van het Open Crypto Audit Project, onder de indruk was van Rashid's proof-of-concept aanvalscode, die Rashid ongeveer vier maanden geleden naar Ledger stuurde. (Saleem Rashid bedankte Josh Harvey voor het verstrekken van een Ledger Nano S, om aan zijn exploit te werken.)

Dan Goodin in Ars Technica legde uit wat Rashid deed. Hij zei dat de 15-jarige een proof-of-concept-code liet zien waarmee hij de Ledger Nano S-hardwareportemonnee "achterdeur" kon maken.

John Biggs binnen TechCrunch merkte op dat Ledger CEO Eric Larchevêque beweerde dat er geen meldingen waren van de effecten van de kwetsbaarheid op actieve apparaten. Jon Ian Wong, Kwarts , op dezelfde manier meldde Ledger dat het niet op de hoogte was van geld dat van de apparaten is gestolen."

Grootboek ambtenaren, In de tussentijd, heeft de Nano S bijgewerkt om de kwetsbaarheid aan te pakken. Alfar meldde dat Ledger een patch heeft uitgegeven voor de Ledger Nano S, vier maanden na de eerste openbaarmaking. Dus voor zover Nano S gaat, Ledger zei dat het probleem was verholpen.

De bedrijfsblog geplaatst op 20 maart, "Firmware 1.4:duik in drie kwetsbaarheden die zijn verholpen, " met betrekking tot "beveiligingsverbeteringen die zijn aangebracht in onze firmware." Ze zeiden dat ze hun gebruikers sterk aanmoedigden om hun firmware bij te werken door hun stapsgewijze handleiding te volgen.

Volgens Ledger, de firmware-update lost drie beveiligingsproblemen op. "Het updateproces verifieert de integriteit van uw apparaat en een succesvolle 1.4.1-update is de garantie dat uw apparaat niet het doelwit is geweest van een van de gepatchte aanvallen. Er is geen noodzaak om enige andere actie te ondernemen, uw seed / privésleutels zijn veilig."

Ledger heeft kantoren in Parijs, Vierzon en San Francisco.

In het grotere geheel, zoals veel beveiligingsexperts zeggen, het is het beste om niet aan te nemen dat een apparaat immuun is voor aanvallen.

Biggs binnen TechCrunch gewogen:"Uiteindelijk, deze inbreuk laat ons zien dat hardware wallets een goede oplossing zijn, maar nog steeds niet onfeilbaar. Regelmatige updates en zorgvuldig sleutelbeheer zijn nog steeds van levensbelang."

Geciteerd door BBC nieuws , Craig Jong, een onderzoeker bij beveiligingsbedrijf Tripwire, merkte op:"Het is erg moeilijk om elk apparaat grondig te beveiligen tegen aanvallers met fysieke toegang. Daarom is het zo belangrijk om vertrouwde componentenmakers te hebben, handelaren, en reparatiefaciliteiten."

© 2018 Tech Xplore