Главред
Представители аппаратного кошелька Ledger, популярность которого только за прошлый год позволила реализовать миллионный тираж данных устройств, выпустили предупреждение для своих пользователей, что недавно разработчиками была обнаружена уязвимость.
Несмотря на то, что пока не имеется сообщений, что кто-то смог воспользоваться уязвимостью, угроза остается очень реальной, поэтому Ledger призвал пользователей своих криптовалютных кошельков предпринять определенные шаги, чтобы не пострадать от атаки и подмены адресов.
Аппаратные кошельки всегда считались одним из наиболее безопасных методов хранения различных видов криптовалюты, в том числе и Биткоинов. Устройства хранения данных, подключаемые через USB, исключают атаки, связанные с сетевым подключением. Но, чтобы отправить средства или загрузить адрес получателя в аппаратный кошелек, его необходимо подключить к Интернету. На данном этапе и была обнаружена уязвимость, которая влияет на устройства Ledger.
Как может произойти MiTM-атака
Все дело в том, что кошельки Ledger генерируют отображаемый адрес получателя с использованием кода JavaScript. Вредоносное ПО может заменить код, предназначенный для создания адреса получателя, его собственным адресом, и все депозиты будут отправляться злоумышленникам.
В случае проведения атаки жертва даже не будет подозревать о ней, и будет уверена, что все в порядке. Чтобы доказать, насколько уязвимость реальна, авторы отчета опубликовали доказательство концепции, которое демонстрирует атаку в действии. Опасность атаки усиливается из-за того, что с помощью программного обеспечения кошелька Ledger, хранящегося в папке AppData, вредоносное ПО может заменить принимающий адрес. Как отмечается в отчете, для того, чтобы похитить пользовательские средства, вредоносным программам достаточно выполнить замену только одной кодовой строки, а используя Python, этого можно достигнуть с программой в 10 строк.
Как избежать уязвимости?
Разработчики безопасности пояснили в Твиттере, что самым надежным способом правильности проверки адреса получателя на данном этапе является нажатие на кнопку, где изображен монитор.
Это решение эффективно, не является отказоустойчивым, так как полностью зависит от действий пользователя, который должен выполнять эту процедуру каждый раз, когда совершает транзакцию. Как отмечается в отчете, оптимальным решением для пользователей будет являться регулярная проверка адреса получателя перед проведением каждой транзакции, точно так же, как по требованию кошелька пользователь подтверждает каждую транзакцию отправки.
Эту систему используют аппаратные кошельки Trezor, требующие двухуровневой аутентификации (2FA), чтобы иметь доступ к получающему адресу. Можно ожидать, что Ledger последует данному примеру для обновления своих устройств. Использование аппаратных кошельков по-прежнему является наиболее безопасным способом хранения, чем доверять свои средства централизованным криптообменам. Но, как показывает случай с Ledger, не существует решений абсолютно гарантирующих надежность защиты пользовательских средств.
Оставить комментарий