3月20日,硬件錢包製造商Ledger發佈了一份固件更新,以修補幾個安全漏洞。這些漏洞是由三名白帽黑客發現的,其中一名叫Saleem
Rashid,是一名15歲的英國男孩。他發現的攻擊載體是基於硬件的,並不侷限於Ledger設備,這使得單靠軟件很難完全緩解這個問題。

020300701

誰發現的漏洞?

3月20日,Ledger發佈了固件更新1.4.1,並附有一篇博客文章,承諾“深入探討安全問題”:

在負責任的公開漏洞信息之後,我們對固件1.4補丁的攻擊媒介進行了全面詳細的評估,這最初由三位安全研究人員報告的。由於這些技術細節的發佈可能會降低未修補設備的安全級別,並會帶來潛在的威脅,因此我們強烈建議用戶固件進行更新。

Saleem Rashid發現這個漏洞吸引了衆人的目光!因爲他不僅年齡很小,而且他還發表了一篇關於他如何實現這一壯舉的詳解文章:

攻擊者在用戶接收設備之前可以利用這個漏洞破壞該設備,或者在設備上竊取私鑰,在某些情況下,還可以遠程竊取私鑰。我已經在一個真正的硬件錢包Ledger
Nano S上演示了這種攻擊。此外,我在幾個月前將源代碼發送給Ledger,這樣他們就可以打開這個設備,這樣就可以很輕鬆地打開設備並進行篡改……

白帽黑客放棄了他的賞金

硬件錢包製造商Ledger說安全研究人員已被要求籤署賞金獎勵協議,作爲獲得報酬的條件之一,同時指出這並不妨礙研究人員發佈自己的報告。據悉,這三位研究人員都樂意遵守這項協議,但事實這並非如此。Saleem
Rashid實際上放棄了他的賞金,他解釋道:

我還沒有得到Ledger的賞金,因爲他們對漏洞的披露會影響我對這份技術報告的發佈。我爲了發佈這份報告而放棄了賞金,主要是因爲Ledger首席執行官EricLarchevêque在Reddit上發表了從技術上講不準確的評論。由於這個原因,我開始擔心這個漏洞不能正確地被客戶理解。

這位男孩認爲,Ledger試圖淡化漏洞的嚴重性。出版一份完整和坦率的報告,以說明他如何攻擊硬件錢包Ledger。雖然放棄了物質上的獎勵,但他獲得了更高的聲望。Saleem
Rashid很聰明,超越了年齡的深度,他就的文章雖冗長但令關注者們着迷。

經歷此事件後,Ledger錢包在人們心中的地位可能會下降。密碼學教師Matthew Green
在迴應Rashid的博客時,探討了完全防止這類攻擊的難度。他捧上一碗“心靈雞湯”:“上面的帖子並不意味着你應該對這些病毒感到恐懼,或許你應該假設其他錢包更好。”

發文時比特幣價格 ¥57359.86

原文:https://news.bitcoin.com/15-year-old-security-researcher-shares-ledger-wallet-exploit/
作者: Kai Sedgwick
編譯:Melody 稿源(譯):巴比特資訊(http://www.8btc.com/15-year-old-security) 版權聲明:
by
nc"
sa

作者保留權利。文章爲作者獨立觀點,不代表巴比特立場。

來源鏈接:www.8btc.com