Egy tinédzser feltört egy kriptovaluta-tárolót
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Egy 15 éves brit hekker feltört egy kriptovaluta tárolására használt hardveres tárcát. A tinédzser, Saleem Rashid a blogján írta meg, hogy egy sebezhetőséget talált a 100 dolláros (25 ezer forint) Ledger Nanóban, amiből több millió kelt el világszerte, és a gyártója feltörhetetlennek hirdette.
A sérülékenységet kihasználva a bűnözők kiüríthették volna a virtuális tárca tartalmát. A gyártó azt nyilatkozta, hogy már orvosolták a hibát. Csakhogy azóta – idézi a Quartz Charles Guillemet biztonsági szakértőt – felmerült a gyanú, hogy a cég egy másik eszköze, a Nano Blue is sebezhető lehet, márpedig több hétig tarthat, míg ahhoz is elkészül a javítás.
A Bitcoinhoz hasonló kriptovalutáknak saját titkosítási módszere van, a nyilvános kulcsú rejtjelezés. A felhasználók csak akkor férhetnek hozzá az egyenleghez, ha rendelkeznek az ehhez használt privát azonosítóval. Az azonosítókat hardveres tárcákon tartják, amik gyakorlatilag olyanok, mint egy pendrive, és USB porton csatlakoztathatók a számítógéphez.
A most felfedezett sebezhetőség az eszköz mikrovezérlőit támadta: a privát azonosítót tartalmazót, illetve egy másikat, ami proxyként működik, és a képernyőfunkciókat és az USB interfészt támogatja. Ez utóbbi kevésbé biztonságos, és nem tud különbséget tenni a gyártó magasabb szintű szoftvere (firmware) és a hekkerek által írt kód között.
A Rashid által bemutatott sérülékenységet azért nehéz kihasználni, mert a támadónak hozzá kell férnie a hardverkulcshoz, hogy hozzáférjen a tartalmához. Rashid egyébként hónapokkal ezelőtt elküldte a felfedezést a gyártónak, akik nem ajánlottak neki jutalmat.
A Ledger vezérigazgatója, Eric Larcheveque – aki a Redditen azt nyilatkozta az ügyről, hogy eltúlozzák a jelentőségét –, megjegyezte, hogy Rashid látványosan dühös volt, amikor a bejelentett hiba javítását nem kezelték kritikus biztonsági frissítésként, és azzal, hogy úgy döntött, nyilvánosságra hozza az ügyet, indokolatlanul nagy pánikot keltett.
A Ledger néhány hete jelentette be, hogy egy másik, ettől független hiba is sebezhetővé tette az eszközöket a külső malware-támadásokkal szemben, amivel a hekkerek észrevétlenül férhettek hozzá a felhasználó kriptovalutájához.
(BBC News)