/ 安全問題

15歲男孩發現硬體錢包Ledger漏洞

3月20日,硬體錢包製造商Ledger發佈了一份韌體更新,以修補幾個安全性漏洞。這些漏洞是由三名白帽駭客發現的,其中一名叫Saleem Rashid,是一名年僅15歲的英國男孩。他發現的攻擊載體是基於硬體的,並不局限於Ledger設備,使得單靠軟體很難完全避免這個問題。

是誰發現的漏洞?

3月20日,Ledger發佈了韌體更新版本1.4.1,並附上一篇文章,承諾「深入探討安全問題」。

「在負責任的公開漏洞資訊之後,我們對韌體版本1.4的攻擊媒介進行了全面的詳細評估。由於這些技術細節的發佈可能會降低未修補設備的安全級別,並會帶來潛在的威脅,因此我們強烈建議用戶進行韌體更新。」

Saleem Rashid發現這個漏洞吸引了眾人的目光!因為他不僅年紀很小,而且他還發表了一篇關於他如何找到漏洞的詳解文章:「攻擊者在使用者接收設備之前可以利用這個漏洞破壞設備,或者在設備上竊取私鑰。在某些情況下,攻擊者還可從遠端竊取私鑰。我已經在一個真正的硬體錢包Ledger Nano S上測試了這種攻擊方式。我在幾個月前將原始程式碼發送給Ledger,這樣他們就可以打開這個設備並進行修改……」

ledger-wallet-vuln-696x461

小男孩放棄了他的獎金

硬體錢包製造商Ledger表示白帽駭客已被要求簽署獎勵協議,簽署協議是獲得報酬的條件之一,同時表示這不會妨礙白帽駭客發佈自己的安全報告。據悉,這三位白帽駭客都樂意遵守這項協議,但事實這並非如此。Saleem Rashid實際上放棄了他的獎金,他解釋:「我還沒有得到Ledger的獎金,因為他們對漏洞的揭露會影響我對這份安全報告的發佈。我為了發佈這份報告而放棄了獎金,主要是因為Ledger執行長Eric Larchevêque在Reddit上發表了在技術上誤導大家的評論。由於這個原因,我開始擔心這個漏洞不能被客戶正確理解。」

Saleem Rashid認為,Ledger試圖淡化漏洞的嚴重性。出版一份完整並直白的報告,以說明他如何攻擊硬體錢包Ledger。雖然放棄了物質上的獎勵,但他獲得了更高的聲望。Saleem Rashid很聰明,作法超越了年齡,他的文章雖冗長但令讀者們著迷。

經歷此事件後,Ledger錢包在使用者心中的地位可能會下降。密碼學教授Matthew Green 在回應Rashid的文章時,探討了完全防止這類攻擊的難度。他表示:「這篇的文章並不代表你應該對這些病毒感到恐懼,或許你應該覺得其他錢包更好。」

Source: Bitcoin.com

關注更多虛擬幣資訊,鎖定《台灣虛擬幣資訊網》

Harry

Harry

畢業於成功大學,目前全力關注台灣幣圈與區塊鏈發展,分享與撰寫相關相關資訊。 與我們聯絡:coineast.com@gmail.com

Read More