3月20日,硬件錢包製造商Ledger發布了一份固件更新,以修補幾個安全漏洞。這些漏洞是由三名白帽黑客發現的,其中一名叫Saleem Rashid,是一名15歲的英國男孩。他發現的攻擊載體是基於硬件的,並不局限於Ledger設備,這使得單靠軟件很難完全緩解這個問題。
誰發現的漏洞?
3月20日,Ledger發布了固件更新1.4.1,並附有一篇博客文章,承諾“深入探討安全問題”:
在負責任的公開漏洞信息之後,我們對固件1.4補丁的攻擊媒介進行了全面詳細的評估,這最初由三位安全研究人員報告的。由於這些技術細節的發布可能會降低未修補設備的安全級別,並會帶來潛在的威脅,因此我們強烈建議用戶固件進行更新。
Saleem Rashid發現這個漏洞吸引了眾人的目光!因為他不僅年齡很小,而且他還發表了一篇關於他如何實現這一壯舉的詳解文章:
攻擊者在用戶接收設備之前可以利用這個漏洞破壞該設備,或者在設備上竊取私鑰,在某些情況下,還可以遠程竊取私鑰。我已經在一個真正的硬件錢包Ledger Nano S上演示了這種攻擊。此外,我在幾個月前將源代碼發送給Ledger,這樣他們就可以打開這個設備,這樣就可以很輕鬆地打開設備並進行篡改。
白帽黑客放棄了他的賞金
硬件錢包製造商Ledger說安全研究人員已被要求籤署賞金獎勵協議,作為獲得報酬的條件之一,同時指出這並不妨礙研究人員發布自己的報告。據悉,這三位研究人員都樂意遵守這項協議,但事實這並非如此。 Saleem Rashid實際上放棄了他的賞金,他解釋道:
我還沒有得到Ledger的賞金,因為他們對漏洞的披露會影響我對這份技術報告的發布。我為了發布這份報告而放棄了賞金,主要是因為Ledger首席執行官EricLarchevêque在Reddit上發表了從技術上講不准確的評論。由於這個原因,我開始擔心這個漏洞不能正確地被客戶理解。
這位男孩認為,Ledger試圖淡化漏洞的嚴重性。出版一份完整和坦率的報告,以說明他如何攻擊硬件錢包Ledger。雖然放棄了物質上的獎勵,但他獲得了更高的聲望。 Saleem Rashid很聰明,超越了年齡的深度,他就的文章雖冗長但令關注者們著迷。
經歷此事件後,Ledger錢包在人們心中的地位可能會下降。密碼學教師Matthew Green 在回應Rashid的博客時,探討了完全防止這類攻擊的難度。他捧上一碗“心靈雞湯”:“上面的帖子並不意味著你應該對這些病毒感到恐懼,或許你應該假設其他錢包更好。”
Timetocoin致力為中文讀者蒐集最新的加密貨幣及區塊鍊消息。如讀者對網站有任何建議,請電郵我們 – [email protected]。
交流各種加密貨幣話題,接收最新情報,加入Telegram群組: https://t.me/timetocoin
精選圖片來源:8btc.com