لجر: آسیب پذیری‌‌هایی که اخیرا در کیف پول کشف شده‌اند اهمیت چندانی ندارند

لجر در تاریخ 28 دسامبر در یک پست وبلاگ رسمی در مدیوم ادعا کرد که آسیب پذیری‌‌هایی که اخیرا در کیف پول سخت افزاری آن کشف شده‌‌اند از اهمیت چندانی برخوردار نیستند.

0 81

محققان در کنفرانس مرور خاطرات (35C3 (35C3 Refreshing Memories که دیروز در برلین برگزار شد ادعا کردند که توانسته‌‌اند کیف پول‌‌های کریپتوکارنسی Trezor One، Ledger Nano S و Ledger Blue را هک کنند.

در این پست، شرکت توضیح می‌‌دهد که “سه راه حمله وجود دارد که می‌‌توانند این تصور را ایجاد کنند که آسیب پذیری‌‌های مهمی کشف شده است” اما طبق گفته آن‌ها‌‌ “این موضوع مورد نظر نیست”.

دلیل اینکه لجر می‌‌گوید که این آسیب پذیری خیلی مهم نیست این است که “آن‌ها‌‌ نتوانستند هیچ seed و PIN موجود در یک دستگاه به سرقت رفته را استخراج کنند” و “دارایی‌‌های حساس ذخیره شده در عنصر امن (Secure Element) به صورت امن باقی می‌‌مانند”.

طبق گفته این شرکت، آسیب پذیری Ledger Nano S “نشان داد که اصلاح فیزیکی Ledger Nano S و نصب بدافزارها بر روی کامپیوتر قربانی می‌‌تواند به مهاجمی که در نزدیکی است اجازه دهد که پس از وارد شدن پین و راه اندازی برنامه بیت‌‌کوین (BTC)، یک تراکنش را امضا کند.”

لجر ادعا می‌‌کند که این: “کاملا غیر عملی است و یک هکر با انگیزه قطعا از ترفندهای کارآمدتری استفاده خواهد کرد.” در حالی که محققان ادعا کردند که این آسیب پذیری امکان “ارسال تراکنش‌‌های مخرب را به ST31 [تراشه امن] و حتی تایید آن توسط خودشان” را فراهم کرده است، لجر با بیان جملات زیر این را انکار می کند:

“میان افزار آن‌ها‌‌ snake را در MCU در حالت Bootloader اجرا می‌‌کند. یعنی شما باید دکمه سمت چپ را در هنگام بوت فشار دهید و عنصر امن حتی بوت هم نمی‌‌شود. ”

لجر همچنین ادعا می‌‌کند که توضیحات مربوط به حمله لجر بلو “کمی غیر واقع گرایانه و غیر عملی است” و “موقعیت گیرنده و دستگاه مورد حمله باید دقیقا یکسان باشد، موقعیت کابل USB نیز مهم است (زیرا به عنوان یک آنتن عمل می‌‌کند). ”

این پست اظهار داشت که “اگر شرایط کاملا یکسان نباشد، کلاس بندی کننده یادگیری ماشینی به درستی کار نخواهد کرد.” به همین دلیل، لجر به این نتیجه رسید که:

“این حمله قطعا جالب است، اما در شرایط واقعی اجازه حدس PIN کسی را نمی‌‌دهد (لازمه آن این است که دستگاه خود را هرگز حرکت ندهید).”

علاوه بر این، به دلیل این آسیب پذیری، لجر اظهار داشت که به روز رسانی میان افزار بعدی لجر بلو دارای یک صفحه کلید تصادفی برای پین است.

این شرکت همچنین اظهار داشت که آن‌ها‌‌

تاسف می‌‌خورند که محققان اصول امنیتی استاندارد که در برنامه bounty لجر توضیح داده شده بود را رعایت نکرده‌‌اند.

در ماه نوامبر، لجر اعلامیه‌‌ای در مورد گسترش خود به نیویورک برای توسعه کاستدی نهادی‌‌اش که لجر والت (Ledger Vault) ارائه می‌‌دهد منتشر کرد. علاوه بر این، این شرکت برای ارائه قابلیت پرداخت هزینه محصولاتش توسط رمز ارزها برای کاربران، اخیرا قراردادی را با استارت‌‌آپ پرداخت کریپتو Crypto.com امضا کرده است.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.