• Home
  • Química
  • Astronomia
  • Energia
  • Natureza
  • Biologia
  • Física
  • Eletrônicos
    •  science >> Ciência >  >> Eletrônicos
    Um jovem de 15 anos disse que descobriu vulnerabilidade na carteira de hardware

    As manchetes zumbiram com a descoberta por Saleem Rashid de 15 anos de uma vulnerabilidade que ele encontrou nas carteiras de hardware Ledger. Ele escreveu sobre em 20 de março.

    O que é Ledger e quais são suas carteiras de hardware? Ledger, disse Krebs sobre segurança , um dos inúmeros sites de olho na façanha do adolescente, é uma empresa cujos produtos são projetados para proteger fisicamente as chaves usadas para receber ou gastar as criptomoedas do usuário.

    Por exemplo, a empresa descreve seu Ledger Nano S como "um Bitcoin, Carteira de hardware Ethereum e Altcoins, com base em recursos de segurança robustos para armazenamento de ativos criptográficos e proteção de pagamentos digitais. Ele se conecta a qualquer computador (USB) e incorpora um display OLED seguro para verificar e confirmar cada transação com um único toque em seus botões laterais. "

    Então, como Krebs explicou, "Carteiras de hardware como as vendidas pela Ledger são projetadas para proteger as chaves privadas do usuário de softwares maliciosos que podem tentar coletar essas credenciais do computador do usuário. Os dispositivos permitem transações por meio de uma conexão a uma porta USB no computador do usuário, mas eles não revelam a chave privada para o PC. "

    Ter chaves privadas que podem ser conectadas a um PC através de uma porta USB é a proteção perfeita ou a tempestade perfeita? Qualquer pessoa que esteja pensando sobre essa questão foi atraída para o blog postado por Rashid. Ele disse que um invasor pode usar a vulnerabilidade para obter chaves privadas do dispositivo.

    Krebs relatou que Kenneth White, diretor do Open Crypto Audit Project, ficou impressionado com o código de ataque de prova de conceito de Rashid, que Rashid enviou para Ledger aproximadamente quatro meses atrás. (Saleem Rashid agradeceu a Josh Harvey por lhe fornecer um Ledger Nano S, para trabalhar em sua façanha.)

    Dan Goodin em Ars Technica apresentou um relato do que Rashid fez. Ele disse que o jovem de 15 anos mostrou um código de prova de conceito que lhe permitiu "fazer backdoor" da carteira de hardware Ledger Nano S.

    John Biggs em TechCrunch observou que o CEO da Ledger, Eric Larchevêque, afirmou que não havia relatórios dos efeitos da vulnerabilidade em quaisquer dispositivos ativos. Joon Ian Wong, Quartzo , relatou de forma semelhante que Ledger disse não ter conhecimento de quaisquer fundos que foram roubados dos dispositivos. "

    Funcionários do Razão, Enquanto isso, atualizou o Nano S para resolver a vulnerabilidade. Alphr relatou que Ledger lançou um patch para o Ledger Nano S, quatro meses após a divulgação inicial. Então, no que diz respeito ao Nano S, Ledger disse que o problema foi resolvido.

    O blog da empresa postou em 20 de março, "Firmware 1.4:mergulho profundo em três vulnerabilidades que foram corrigidas, "com relação às" melhorias de segurança feitas em nosso firmware. "Eles disseram que incentivaram fortemente seus usuários a atualizarem seu firmware seguindo o guia passo a passo.

    De acordo com Ledger, a atualização do firmware corrige três problemas de segurança. "O processo de atualização verifica a integridade do seu dispositivo e uma atualização 1.4.1 bem-sucedida é a garantia de que seu dispositivo não foi alvo de nenhum ataque corrigido. Não há necessidade de realizar nenhuma outra ação, suas sementes / chaves privadas estão seguras. "

    Ledger tem escritórios em Paris, Vierzon e San Francisco.

    No quadro geral, como muitos especialistas em segurança dizem, é melhor não presumir que nenhum dispositivo esteja imune a ataques.

    Biggs em TechCrunch ponderado:"Em última análise, essa violação nos mostra que as carteiras de hardware são uma boa solução, mas ainda não são à prova de falhas. Atualizações regulares e gerenciamento cuidadoso de chaves ainda são de vital importância. "

    Citado por BBC Notícias , Craig Young, pesquisador da empresa de segurança Tripwire, comentou:"É muito difícil proteger completamente qualquer dispositivo de invasores com acesso físico. É por isso que é tão importante ter fabricantes de componentes confiáveis, comerciantes, e instalações de reparo. "

    © 2018 Tech Xplore




    Eletrônicos
    Ciência
    Ciência
  • Química
  • Astronomia
  • Energia
  • Natureza
  • Biologia
  • Física
  • Eletrônicos
  • Geologia
  • Eclipse solar
  • Matemática
  • Outros
  • Nanotecnologia
    • Eletrônicos
    Ciência
    © Ciência https://pt.scienceaq.com