Ledger и Trezor успокоили пользователей – на презентации не было доказано, что можно извлечь код или seed-фразу, все атаки строились на завладении физическим устройством и социальном инжиниринге, когда жертва самостоятельно заражает устройство.
Помимо психологических приемов завладения информацией на видеозаписи выступления Wallet Fiat видно, как команда «ворует» персональные данные в ходе загрузки устройства, продемонстрирован взлом защиты и обход микропроцессора устройства, а также вызов специальных сбоев веб-интерфейса для перехвата управления кошельком.
Производители обращают внимание, что для атаки при загрузке флешки кошелька, потребуется дождаться момента первой транзакции, угадав время и место, но согласились с уязвимостью, пообещав устранить ее в следующей прошивке. Обход микропроцессора, показанный на шоу, возможен, но он переведет кошелек в режим отладки и не будет способствовать хищению криптовалюты или персональных данных.
Продемонстрированный Wallet Fiat способ извлечения PIN-кода из Ledger Blue – «старая уязвимость», которая уже устранена, команда просто вводит пользователей в заблуждение. Производители считают, что вся презентация построена для привлечения интереса к команде Wallet Fiat. По этическим стандартам раскрытия уязвимостей, до их публикации сначала ставят в известность компании, а любые публикации на эту тему проводят после устранения недостатков, не подвергая риску пользователей.
Комментарии:
Gleb
#
Согласен, если уж нашли уязвимость, то лучше сначала сообщить производителю, а уж когда ими не будут предприняты меры по устранению - обнародовать обнаружение уязвимости.
сб, 12/29/2018 - 19:44
Иван Петров
#
Тем более что уязвимости представлены как сенсация - на самом деле это недочеты.
вс, 12/30/2018 - 05:12