Un ragazzo di 15 anni trova vulnerabilità nel portafoglio crittografico di Ledger

Il portafoglio di criptovaluta Nano S di Ledger hackerato da un adolescente di 15 anni

Saleem Rashid, un ricercatore di sicurezza di 15 anni che vive nel Regno Unito, ha scoperto una grave vulnerabilità nelle criptovalute hardware di Ledger.

Ledger, è una società con sede in Francia famosa per i suoi portafogli hardware “a prova di manomissione” realizzati per la custodia fisica delle chiavi pubbliche e private che vengono utilizzate per ricevere o inviare le criptovalute dell’utente.

Rashid ha pubblicato le sue scoperte in un post sul blog dove spiega come è arrivato al codice scritto che ha dato accesso alla backdoor al Ledger Nano S, un dispositivo hardware da $ 100 utilizzato da milioni di persone in tutto il mondo.

La ricerca di Rashid e altri due mostra che la vulnerabilità nel portafoglio consente a un utente malintenzionato di aggirare fisicamente la chiave privata del dispositivo prima o anche dopo che il dispositivo è stato spedito e drenare fondi dal portafoglio senza il permesso del proprietario.

Secondo il proof of concept di Rashid, i portafogli hardware memorizzano queste chiavi private e possono essere collegati a un PC tramite una porta USB. L’attacco prende di mira i microcontrollori del dispositivo, uno dei quali memorizza la chiave privata, mentre l’altro funge da proxy per supportare le funzioni di visualizzazione e l’interfaccia USB. Tuttavia, il chip del microcontrollore proxy è meno sicuro e può distinguere tra il software originale programmato in un dispositivo e il codice scritto da uno sconosciuto.

Per eseguire l’attacco, l’attaccante deve prima avere accesso fisico al portafoglio hardware di criptovaluta, in modo che possa quindi iniettarvi software dannoso. Una volta installato il software infetto, i due chip si scambiano informazioni e un utente malintenzionato potrebbe compromettere il chip del microcontrollore non sicuro nei dispositivi Ledger per eseguire furtivamente codice dannoso in grado di rubare chiavi private.

La vulnerabilità scoperta consente sia un “attacco alla catena di fornitura”, ovvero un attacco che potrebbe compromettere il dispositivo prima che venga spedito al cliente. D’altra parte, un altro attacco potrebbe consentire a un hacker di rubare le chiavi private dopo che il dispositivo è stato inizializzato.

leggere  Attacco di hacking della libellula; più di 1.000 aziende energetiche in Nord America ed Europa colpite

Per “l’attacco alla catena di approvvigionamento”, il team di Ledger ha scritto: “Avendo accesso fisico al dispositivo prima della generazione del seme, un utente malintenzionato potrebbe ingannare il dispositivo iniettando il suo seme invece di generarne uno nuovo. Lo scenario più probabile sarebbe un’operazione fraudolenta da parte di un rivenditore sospetto”.

Il team ha aggiunto: “Se hai acquistato il tuo dispositivo su un canale diverso, se è un dispositivo di seconda mano o se non sei sicuro, potresti essere vittima di una truffa elaborata. Tuttavia, poiché non è stata mostrata alcuna dimostrazione effettiva dell’attacco, è altamente improbabile. In entrambi i casi, un aggiornamento del firmware riuscito è la prova che il tuo dispositivo non è mai stato compromesso. “

Per l’hack post-acquisto, hanno scritto che “può essere ottenuto solo avendo accesso fisico al dispositivo, conoscendo il suo codice PIN e installando un’app dannosa non firmata. Questa applicazione dannosa potrebbe rompere l’isolamento tra le applicazioni e accedere a dati riservati gestiti da applicazioni specifiche come GPG, U2F o Neo”.

Ledger ha rilasciato una patch per Ledger Nano S, quattro mesi dopo la divulgazione iniziale, anche se una patch per “Ledger Blue” non sarà disponibile “per diverse settimane”, ha affermato il responsabile della sicurezza di Ledger, Charles Guillemet (che ha parlato con Quarzo), in quanto non ritenuto urgente.

“I problemi riscontrati sono seri (ecco perché consigliamo vivamente l’aggiornamento), ma NON critici”, ha affermato Guillemet. “I fondi non sono stati a rischio e non c’è stata dimostrazione di alcun vero attacco ai nostri dispositivi”.

Il CEO di Ledger Eric Larchevêque ha dichiarato che non ci sono state segnalazioni di vulnerabilità che interessano alcun dispositivo attivo. “Nessuno è stato compromesso che sappiamo”, ha detto. “Non siamo a conoscenza di alcun dispositivo interessato”.

leggere  Come acquistare una scheda SD: spiegazione di velocità, classi, dimensioni e capacità

Da parte sua, Rashid è rimasto deluso dalla rapidità con cui Ledger ha risposto alle sue affermazioni. Ha detto nel suo post sul blog di aver inviato il codice sviluppato a Ledger “alcuni mesi fa”, aggiungendo che non era stato pagato una ricompensa per le sue scoperte.

Come parte del blog, Rashid spiega:

“Prima di arrivare ai dettagli della vulnerabilità, vorrei chiarire che Ledger non mi ha pagato una ricompensa perché il loro accordo di divulgazione responsabile mi avrebbe impedito di pubblicare questo whitepaper.

“Ho scelto di pubblicare questo rapporto invece di ricevere una ricompensa da Ledger, principalmente perché Eric Larchevêque, CEO di Ledger, ha fatto alcuni commenti su Reddit pieni di imprecisioni tecniche. Di conseguenza, ero preoccupato che questa vulnerabilità non venisse spiegata adeguatamente ai clienti”.

Tuttavia, Larcheveque nei suoi commenti su Reddit ha affermato che il problema di sicurezza è stato “molto esagerato”.

“Per quanto possibile, questa prova di concetto non è in alcun modo classificata come livello di gravità critico e non è mai stata dimostrata”, ha scritto.

“Siamo stati in contatto con Saleem negli ultimi quattro mesi. È sbagliato affermare che non ti abbiamo risposto o che non abbiamo fatto nulla. C’erano altre vulnerabilità che sono apparse contemporaneamente ed era una vulnerabilità complessa che era profonda nell’architettura del nostro sistema “, ha aggiunto. “Tutti i sistemi hanno vulnerabilità. Fa parte della vita di qualsiasi sistema di sicurezza. È un gioco del gatto col topo”.

Larcheveque ha accusato l’adolescente di essere “visibilmente turbato” quando la società non è riuscita a condividere la soluzione come “aggiornamento critico della sicurezza” e ha affermato che la sua decisione di diventare pubblica ha “generato molto panico”.

Fonte: BBC

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *