Rubrikerna nynnade med upptäckten av en 15-årig Saleem Rashid av en sårbarhet som han hittade i Ledger hårdvaruplånböcker. Han bloggade om den 20 mars.

Vad är Ledger och vad är deras hårdvaruplånböcker? Huvudbok, sa Krebs om säkerhet , en av de många platser som tittar på tonåringens bedrift, är ett företag vars produkter är designade för att fysiskt skydda nycklar som används för att ta emot eller spendera användarens kryptovalutor.

Till exempel, företaget beskriver sin Ledger Nano S som "en Bitcoin, Ethereum och Altcoins hårdvaruplånbok, baserad på robusta säkerhetsfunktioner för att lagra kryptografiska tillgångar och säkra digitala betalningar. Den ansluts till vilken dator som helst (USB) och bäddar in en säker OLED-skärm för att dubbelkolla och bekräfta varje transaktion med ett enda tryck på sidoknapparna."

Så, som Krebs förklarade, "Hårdvaruplånböcker som de som säljs av Ledger är utformade för att skydda användarens privata nycklar från skadlig programvara som kan försöka samla in dessa referenser från användarens dator. Enheterna möjliggör transaktioner via en anslutning till en USB-port på användarens dator, men de avslöjar inte den privata nyckeln till datorn."

Är privata nycklar som kan anslutas till en PC via en USB-port det perfekta skyddet eller den perfekta stormen? Alla som funderade på en sådan fråga drogs till bloggen som lades upp av Rashid. Han sa att en angripare kunde använda sårbarheten för att få privata nycklar från enheten.

Krebs rapporterade att Kenneth White, chef för Open Crypto Audit Project, var imponerad av Rashids proof-of-concept attackkod, som Rashid skickade till Ledger för ungefär fyra månader sedan. (Saleem Rashid tackade Josh Harvey för att han försåg honom med en Ledger Nano S, att arbeta på sin bedrift.)

Dan Goodin in Ars Technica presenterade en redogörelse för vad Rashid gjorde. Han sa att 15-åringen visade proof-of-concept-kod som gjorde det möjligt för honom att "backdoor" Ledger Nano S hårdvaruplånbok.

John Biggs in TechCrunch noterade att Ledger vd Eric Larchevêque hävdade att det inte fanns några rapporter om sårbarhetens effekter på några aktiva enheter. Joon Ian Wong, Kvarts , rapporterade på samma sätt att Ledger sa att det inte var medvetet om några pengar som har stulits från enheterna."

Ledger tjänstemän, under tiden, uppdaterade Nano S för att åtgärda sårbarheten. Alphr rapporterade att Ledger utfärdade en patch för Ledger Nano S, fyra månader efter det första offentliggörandet. Så långt som Nano S går, Ledger sa att problemet var åtgärdat.

Företagets blogg publicerade den 20 mars, "Firmware 1.4:djupdykning i tre sårbarheter som har åtgärdats, " angående "säkerhetsförbättringar gjorda av vår firmware." De sa att de starkt uppmuntrade sina användare att uppdatera sin firmware genom att följa deras steg-för-steg-guide.

Enligt Ledger, Firmwareuppdateringen korrigerar tre säkerhetsproblem. "Uppdateringsprocessen verifierar integriteten hos din enhet och en framgångsrik 1.4.1-uppdatering är garantin för att din enhet inte har varit målet för någon av de korrigerade attackerna. Det finns ingen anledning att vidta någon annan åtgärd, dina frön/privata nycklar är säkra."

Ledger har kontor i Paris, Vierzon &San Francisco.

I den större bilden, som många säkerhetskunniga säger, det är bäst att inte anta att någon enhet är immun mot attacker.

Biggs in TechCrunch vägde in:"I slutändan, detta brott visar oss att hårdvaruplånböcker är en bra lösning men ändå inte idiotsäker. Regelbundna uppdateringar och noggrann nyckelhantering är fortfarande mycket viktigt."

Citerat av BBC Nyheter , Craig Young, en forskare på säkerhetsföretaget Tripwire, kommenterade:"Det är mycket svårt att grundligt säkra någon enhet från angripare med fysisk åtkomst. Det är därför det är så viktigt att ha pålitliga komponenttillverkare, köpmän, och reparationsanläggningar."

© 2018 Tech Xplore