Ledger cryptogeld hardware portefeuilles zijn gevonden kwetsbaar te zijn, een tiener security-onderzoeker onthuld in een blog post. De 15-jarige Saleem Rashid ontdekte de bug die manier konden aanvallers om het apparaat zaadgeneratie fabriceren, en zo elke oogst middelen opgeslagen adressen uit dit zaad geproduceerd. “Het lek is ontstaan als gevolg van het gebruik van een aangepaste architectuur Ledger om rond veel van de beperkingen van hun Secure Element werken”, Rashid uitgelegd.
Hoe kan dit lek worden misbruikt?
Een aanvaller kan het fout gebruiken om het apparaat in gevaar brengen voordat de gebruiker ontvangt, de jonge onderzoeker zei. Een aanvaller kan ook stelen private sleutels uit het apparaat fysiek of zelfs op afstand.
Fysieke toegang vóór de installatie van het zaad is mogelijk. Dit staat bekend als supply chain attack. Dit type aanval meestal geen malware in eerste instantie geïnstalleerd op het beoogde systeem nodig. Het maakt ook niet de gebruiker nodig om transacties te bevestigen. De onderzoeker was in staat om deze aanval op een echte Ledger Nano S demonstreren. Ook ging hij verder - hij stuurde de broncode van Ledger, zodat het bedrijf kon reproduceren.
Specifieker, een supply chain aanval is als een slechte acteur installeert kwaadaardige firmware op een Ledger apparaat en vervolgens verkoopt aan een derde partij marketplace als Amazon of eBay. En dit is niet een onwaarschijnlijk scenario, als gebruikers vaak, maar apparaten van derden retailers. De vraag waarom gebruikers bereid zijn om dit risico te nemen - hardware portemonnee fabrikanten zijn vaak niet in staat om voldoende apparaten produceren om gelijke tred te houden met de groeiende vraag en opraken van de voorraad.
De kwetsbaarheid geeft ook fysieke toegang na de installatie. Deze vorm van compromis kan de aanvaller om de pincode te extraheren, terugwinningszaad, gebruikte BIP-39 wachtwoorden. De enige voorwaarde is dat het apparaat eenmaal is gebruikt lease vóór de eigenlijke aanval.
Dit type aanval ook niet nodig malware vooraf geïnstalleerd op de machine, en het niet de gebruiker verlangen dat zij alle transacties te bevestigen. Het enige dat nodig is, is de aanvaller om een aangepaste MCU firmware te installeren op de prive sleutels exfiltrate zonder medeweten van de gebruiker.
En tenslotte, de kwetsbaarheid kan worden ingezet in een malware-aanval die met de hulp van social engineering-technieken kunnen worden uitgevoerd. In dit scenario, de gebruiker zou hebben om de MCU firmware-update op een geïnfecteerde machine. Hoe kan dit gebeuren? Door het tonen van een foutmelding dat de gebruiker wordt gevraagd om het apparaat te verbinden met de linkermuisknop ingedrukt te houden (de MCU bootloader te voeren). Dan kan de malware de MCU met kwaadaardige code bij te werken, waardoor de malware om de controle over de vertrouwde display en bevestiging knoppen nemen op het apparaat, de onderzoeker uitgelegd.
Dit type aanval kan heel “vruchtbaar” zijn als het wordt ingezet wanneer een legitieme firmware-update wordt uitgebracht.
Hoe heeft Ledger reageren?
Ledger executives lijken een ruzie met Rashid op sociale media te hebben gehad na de firmware-update is uitgebracht. De CEO van Ledger, Eric Larcheveque, zelfs gezegd dat de jonge onderzoeker overdreven de ernst van de fout, beweren dat:
De kwetsbaarheid van Saleem gemeld vereist fysieke toegang tot het apparaat vóór de installatie van het zaad, het installeren van een aangepaste versie van de MCU firmware, het installeren van een malware op de computer van het slachtoffer en hem te bevestigen een zeer specifieke transactie.
Hier is reactie Rashid's op deze:
Ik ben verbaasd over waar deze claim kon zijn ontstaan uit. Uit latere contact met Ledger, Er werd mij verteld dat de CEO had in het geheel niet ingelicht over het beveiligingsprobleem als ze maakte deze opmerkingen op Reddit. [...] Er zijn drie manieren om dit beveiligingslek te misbruiken, die geen van alle noodzakelijk voorwaarden als onwaarschijnlijk als die.