00 后黑客发现 Ledger 硬件钱包漏洞

下一篇文章

Y Combinator 2018 年冬季班“演示日”第一天:最受欢迎的 7 家创业公司

一位名叫 萨利姆·拉希德(Saleem Rashid)的 15 岁黑客在流行的 Ledger 硬件钱包 中发现了漏洞,该漏洞让黑客可以在设备发货之前和发货之后窃取密码。拉希德 在自己的博客上 对漏洞进行了描述,它可以让两种黑客攻击变成可能:第一种是所谓的“供应链攻击”,也就是在设备送到用户手上之前进行入侵;第二种则可以让黑客在设备完成初始化后窃取私钥。

拉希德跟 Ledger 的竞争对手并没有任何直接联系,但也有一些说法称,他为 Trezor 和其他一些硬件钱包竞品做了一些工作。拉希德的回应如下:

 

为了充分披露信息:我拥有一个@TREZOR 钱包,我还拥有一个@DigitalBitbox 钱包。

我过去曾为开源的@TREZOR 框架贡献过代码,我也曾作为@NEMofficial 的合同工,为 TREZOR 提供过部署$NEM 的支持。

Ledger 团队称,这些漏洞具有危险性,但可以避免。对于“供应链攻击”,他们写道:“在种子生成前对设备实施物理访问,攻击者可以通过植入自己的种子而不是生成新的种子来欺骗设备。这种攻击最有可能发生的场景是心怀叵测的经销商设置骗局。”

“如果你是从其他渠道买到设备的,如果那是一台二手设备,或者如果你无法确定,那么你可能成为一场精心安排的骗局的受害者。然而,正如现实当中并未出现这种攻击事例,它发生的可能性很小。不管怎样,如果你能成功进行固件升级,那么就能证明你的设备没有遭到入侵。”该团队写道。

此外,在用户购买之后实施的攻击“只能通过对设备进行物理访问、知晓你的密码并安装一个未签名的恶意应用才能实现。该恶意应用能够打破应用之间的隔离,并访问由特定应用(比如 GPG、U2F 或 Neo)管理的敏感数据。”

Ledger 首席执行官埃里克·拉什维克(Eric Larchevêque)表示,他们没有接到任何声称这些漏洞对活跃设备产生影响的报告。

“据我们所知,没有人遭到入侵。”他说,“我们没有听说任何设备受到了影响。”

在拉希德这一边,他对 Ledger 的回应速度感到失望,他在 Twitter 的回复中写道:

[email protected]

Ledger没有以“快得惊人”的速度修复他们的漏洞吗?

萨利姆·拉希德@spudowiar

没有,他们并没有。

[email protected]

他们用了多长时间? 

萨利姆·拉希德@spudowiar

大约 4 个月,整个过程的沟通非常糟糕。

[email protected]

漏洞是在 4 个月前公开的?为什么它到了前几天才引起关注?

萨利姆·拉希德@spudowiar

不是,我是在 4 个多月前向他们披露漏洞的。

Ledger 团队对此并不认账。

“在过去的 4 个月里,我们一直跟萨利姆保持着联系。”拉什维克说,“说我们没有回应他或者什么也没干,这不符合事实。同期还有其他漏洞出现了,而且是深植于我们系统构架的复杂漏洞。”

“所有的系统都存在漏洞。”拉什维克说,“这是任何安全系统的一部分,这是一种猫鼠游戏。”

钱包制造商 Trezor 也宣布对他们的硬件进行一次升级,以此验证设备的完整性。

说到底,这次漏洞事件向我们表明,硬件钱包是一个很好的解决方案,但依旧不是百分百安全,定期进行更新以及仔细管理密钥仍然非常重要。

翻译:王灿均(@何无鱼

A 15-year-old hacked the secure Ledger crypto wallet