carteras de hardware criptomoneda Ledger se han encontrado para ser vulnerables, un investigador de seguridad adolescente revelado en un blog. El joven de 15 años de edad, Saleem Rashid descubrió el error que permitía a los atacantes para fabricar la generación de la semilla del dispositivo, y de esta manera la cosecha de los fondos almacenados en direcciones producidos a partir de esta semilla. “La vulnerabilidad surgió debido al uso de Ledger de una arquitectura personalizada para evitar muchas de las limitaciones de su elemento seguro”, Rashid explicó.
¿Cómo se puede explotar esta vulnerabilidad?
Un atacante puede aprovechar la falla comprometer el dispositivo antes de que el usuario lo recibe, el joven investigador dijo. Un atacante también puede robar claves privadas desde el dispositivo físicamente o incluso de forma remota.
El acceso físico antes de la instalación de la semilla es posible. Esto se conoce como ataque cadena de suministro. Este tipo de ataque normalmente no necesita software malicioso instalado inicialmente en el sistema de destino. Asimismo, no es necesario que el usuario confirme cualquier transacción. El investigador fue capaz de demostrar este ataque a un verdadero Ledger Nano S. También fue más lejos - que envió el código fuente para Ledger para que la empresa pueda reproducirla.
Más específicamente, un ataque de la cadena de suministro es cuando un mal actor instala el firmware malicioso en un dispositivo de Ledger y luego lo vende en un mercado de terceros, como Amazon o eBay. Y esto no es un escenario poco probable, ya que los usuarios a menudo, pero los dispositivos de terceros minoristas. En cuanto a por qué los usuarios están dispuestos a asumir este riesgo - fabricantes de hardware cartera son a menudo incapaces de producir suficientes dispositivos para mantenerse al día con la creciente demanda y quedarse sin existencias.
La vulnerabilidad también otorga acceso físico después de la instalación. Este tipo de compromiso permite al atacante para extraer el PIN, semilla de la recuperación y cualquier utilizados BIP-39 frases de contraseña. La única condición es que el dispositivo ha sido utilizado de arrendamiento una vez antes del ataque real.
Este tipo de ataque también no necesita pre-instalado el malware en la máquina, y que no requiere que el usuario confirme cualquier transacción. Lo único que se necesita es que el atacante para instalar un firmware personalizado para MCU exfiltrate las claves privadas sin el conocimiento del usuario.
Y finalmente, la vulnerabilidad se puede aprovechar en un ataque de malware que pueden llevarse a cabo con la ayuda de técnicas de ingeniería social. En este escenario, el usuario tendría que actualizar el firmware de MCU en una máquina infectada. ¿Cómo puede suceder esto? Mostrando un mensaje de error que indica al usuario que vuelva a conectar el dispositivo con el botón izquierdo presionado (para entrar en el gestor de arranque MCU). A continuación, el malware puede actualizar la MCU con código malicioso, permitiendo que el software malicioso a tomar el control de los botones de la pantalla de confirmación y de confianza en el dispositivo, el investigador explicó.
Este tipo de ataque puede ser bastante “fructífera” si se despliega cuando una actualización del firmware legítima se libera.
¿Cómo respondió Ledger?
Ledger ejecutivos parecen haber tenido una discusión con Rashid en las redes sociales después de la actualización del firmware fue puesto en libertad. El director general de Ledger, Eric Larcheveque, llegó a decir que el joven investigador exagerado la gravedad de la falla, alegando que:
La vulnerabilidad reportada por Saleem requiere acceso físico al dispositivo antes de la instalación de la semilla, la instalación de una versión personalizada del firmware MCU, la instalación de un software malicioso en el ordenador del objetivo y haberle confirmar una transacción muy específica.
Aquí está la respuesta de Rashid a este:
Estoy desconcertado en cuanto a donde esta afirmación podría haberse originado a partir. Desde el contacto posterior con Ledger, Se me informó que el CEO había nada en absoluto sido informado sobre la vulnerabilidad de seguridad cuando hicieron estos comentarios en Reddit. [...] hay tres métodos de aprovechar esta vulnerabilidad, ninguno de los cuales requiere condiciones como poco probable que las.