Crypto

15歳がハードウォレットのLedger Nano Sをハッキング

ハードウェアウォレットのLedger Nano Sがハッキングされた。10代のセキュリティエキスパートSaleem Rashidは“改ざんのない”ウォレットの問題を見つけた。話は2017年の11月にさかのぼる。RashidはLedgerのCTONicolas Baccaに、攻撃者はウォレット利用者から資産を盗めると報告した。

Rashidはウォレット内臓のマイクロコントローラーは安全でないと確認した。データ入力のためにボタンとディスプレイの利用ができる一方で、プロキシがセキュアエレメント(SE)と接続していた。後者はプライベートキーを含んでいたため、ハッカーがSEを様々な方法で騙せた。現在、小売と再販業者はマイクロコントローラーの脆弱なファームウェアを変更でき、SEの「アイデンティティ」を有効化できる。攻撃者は利用者のインターフェイスをコントロールし悪意のあるコードを使いランダムネスを0に設定し、選択の回復シードを加えることができると更に説明した。Rashidはアップロードしたビデオのポイントを証明するために「捨てる」という言葉を選んだ。

Rashidが研究結果をLedgerへ送ったあと、そのフローがチームに真剣に取り上げられていないと思った。しかし、彼らは3月6日にRashidから非常に批判を受けたファームウェアを発行した。彼はTwitterで見解を述べた。チームが重大なアップデートを投稿すべきだと考えたからだ。またはハッカーが偽装してこのトリックを利用する暇を与えないために。

Panic spread among users, who took to Reddit to discuss their next move. Eric Larchevêque, Ledger’s CEO, replied to one such post saying it was “a massive FUD”, and that Rashid was trying to bring attention to himself, when the problem was clearly not high-priority. “Saleem got visibly upset when we didn’t communicate as “critical security update” and decided to share his opinion on the subject,” wrote Larchevêque.

利用者の間でパニックが起き、Redditは次の動きのために議論を迫られた。LedgerのCEOEric Larchevêqueはこれが「重大な恐怖」だと言う投稿に返答し、問題が明らかに高い優先順位ではない時に、Rashidは注目を彼に向けようと試みた。「Saleemは『重大なセキュリティアップデート』として我々がコミュニケーションをとっていない時に、明らかに動揺し、意見を共有することを決めた」とLarchevêqueは書いた。


3月20日、LedgerはTimothée Isnard、Saleem Rashid、Sergei Volokitinのプログラムリサーチャーにより発見された3つの問題を説明する更なるアップデートを発行した。興味深いことに、Rashidはこの発見を否定した。Ledger’s Bounty Program Agreementにサインすることは彼がまさに同日に行った技術的レポートを発行することを許さないからだ。新たなアップデートについて言えば、Rashidは企業から『リリース候補』を受けることは許されていなかったが、新たな修復はハッカーの攻撃から完全に自由ではないと説明した。

「タイミングと”圧縮するのが困難な”ファームウェアを組み合わせてこのモデルのセキュリティに到達することは本当に可能か?」とRashidは書いた。彼は、Twitterの長いスレッドでいかに10代がLedgerのセキュリティ戦略を破ったかを説明した暗号のエキスパートMatthew Greenからのサポートを受け入れた。

英国に住む10代は以前仮想通貨ハードウェアウォレットTREZORの問題も明らかにした。この問題は両者の良いコミュニケーションで解決した。SatoshiLabsのCEOMarek Palatinusすら彼の功績を褒めた。「彼の形にとらわれない思考と創造的なアプローチはより安全な製品を作るために我々を助けている。」

 

(引用元)

https://www.ccn.com/15-year-old-hacks-hardware-crypto-wallet-ledger/

その他の記事はこちらから

[npc width=”70″ height=”70″]

 

イマから開設できる仮想通貨取引所はこちら

・ビットフライヤー:https://bitflyer.jp/

あわせて読みたい「取引所登録(ビットフライヤー編)」

・Zaif:https://zaif.jp

あわせて読みたい「取引所登録(Zaif編)」

 

↓↓↓【仮想通貨サテライト】提携ライター募集中↓↓↓↓

↓↓↓話題の仮想通貨最新情報はこちらのLINE@でも配信中です↓↓↓↓

↓↓↓仮想通貨サテライトは【仮想通貨少女】を応援しています↓↓↓

↓↓↓世界のICOに関する情報はこちらです↓↓↓