آسیبپذیریهای کشف شده در کیف پول سختافزاری لجر جدی نیست
براساس پست رسمی شرکت سازنده کیف پولهای سختافزاری لجر در روز ۲۸ دسامبر (۷ دی)، این شرکت مدعی شد آسیبپذیریهای کشف شده اخیر در کیف پولهای سختافزاری مورد جدی نیستند.
روز گذشته در ۳۵مین همایش سالانه هکرهای جهان در شهر برلین که اسناد و مدارک نفوذهای امنیتی در آن افشا میشود، پژوهشگران مدعی شدند که کیف پولهای سختافزاری ارز دیجیتال ترزور وان (Trezor One)، لجر نانو اس (Ledger Nano S) و لجر بلو (Ledger Blue) را هک کردهاند.
در پست منتشر شده از سوی لجر، این شرکت توضیح داده که به نظر میرسد آسیبپذیریهای جدی افشاشده از وجود ۳ مسیر حمله خبر میدهند، اما طبق گفته آنها این موارد اهمیت چندانی ندارد.
طبق گفته این شرکت سازنده کیف پولهای سختافزاری، دلیل جدی نبودن آسیبپذیریها این است که هیچ یک از آنها موفق نشده به سید (Seed) یا پین (PIN) یک دستگاه دزدیده شده دست پیدا کند و داراییهای حساس ذخیره شده بر روی این دستگاه امن، دست نخورده باقی ماندهاند.
با استناد به پست منتشر شده لجر، آسیبپذیری لجر نانو اس نشان داد که دستکاری فیزیکی این مدل از کیف پولهای سخت افزاری و نصب بدافزار بر روی کامپیوتر قربانی، میتواند منجر شود که مهاجم پس از اینکه پین وارد شد و برنامه بیت کوین بالا آمد، بتواند تراکنش خود را امضا کند.
به عقیده لجر این امر کاملاً غیرعملی است و قطعاً یک هکر باانگیزه از حقههای موثرتری برای اهداف خود استفاده خواهد کرد. در حالیکه پژوهشگران مدعی شدند آسیبپذیری کشف شده به آنها اجازه داده تا تراکنشهای بدخواهانه را به ST31 (چیپ امنیتی) ارسال کنند و حتی خودشان آنها را تایید کنند.
لجر با تکذیب این ادعا، عنوان کرد: سفتافزار (Firmware) آنها اسنیک را بر روی MCU در حالت بوتلودر اجرا میکند. این بدین معنی است که شما باید دکمه سمت چپ را حین بوت شدن فشار دهید و این در حالی است که چیپ امنیتی حتی بوت نشده است.
لجر همچنین ادعا کرد که اثبات حمله به لجر بلو مقداری غیرواقعی بوده و قابل اجرا نیست. آنها اظهار داشتند که موقعیت دریافتکننده و دستگاه مورد حمله واقع شده باید کاملاً یکسان بوده و همچنین محل کابل USB نیز چون به عنوان یک آنتن عمل میکند، بالاتر از همه باشد.
در این پست آمده که اگر موقعیتها دقیقاً یکی نباشد، مرتبکننده یادگیری ماشین به طور صحیح کار نخواهد کرد. از این رو لجر نتیجه گرفت: این حملات از جهتی واقعاً جالب توجه بود، اما هرگز امکان حدسزدن پین شخصی را در شرایط واقعی فراهم نمیکند چراکه لازمه آن تکان ندادن دستگاه است.
علاوهبراین به دلیل آسیبپذیری رخ داده، لجر اظهار داشت که در بروزرسانی بعدی سفتافزار قابلیت صفحه کلید تصادفی را برای پین اضافه خواهد کرد.
این شرکت همچنین از اینکه پژوهشگران قواعد امنیتی استاندارد تعیین شده در برنامه جایزه لجر را دنبال نکردهاند، اظهار تأسف کرد. بر اساس اظهارات شرکت سازنده کیف پول لجر، راه معمول برای انجام این کار در دنیای امنیت، افشاگری با قبول مسئولیت است. از نظر لجر این مدلی است که هنگام آشکار کردن آسیبپذیریها باید به کار گرفته شود و پس از گذشت بازه زمانی منطقی که اجازه رفع این آسیبپذیری و خطر برای کاربران را میدهد، دادههای یافت شده عمومی شوند.
در ماه نوامبر، لجر اعلام کرد که قصد گسترش در شهر نیویورک را به منظور توسعه سرویسهای نگهداری سازمانی لجر والت (Ledger Vault) دارد. علاوه بر این، شرکت اخیراً توافقنامهای را با استارتآپ پرداخت ارزهای دیجیتال Crypto.Com امضا کرده که به کاربران اجازه میدهد محصولات این شرکت را با ارزهای دیجیتال خریداری کنند.