Egy 15 éves brit hekker feltört egy kriptovaluta tárolására használt hardveres tárcát. A tinédzser, Saleem Rashid a blogján írta meg, hogy egy sebezhetőséget talált a 100 dolláros (25 ezer forint) Ledger Nanóban, amiből több millió kelt el világszerte, és a gyártója feltörhetetlennek hirdette.

A sérülékenységet kihasználva a bűnözők kiüríthették volna a virtuális tárca tartalmát. A gyártó azt nyilatkozta, hogy már orvosolták a hibát. Csakhogy azóta – idézi a Quartz Charles Guillemet biztonsági szakértőt – felmerült a gyanú, hogy a cég egy másik eszköze, a Nano Blue is sebezhető lehet, márpedig több hétig tarthat, míg ahhoz is elkészül a javítás.

A Bitcoinhoz hasonló kriptovalutáknak saját titkosítási módszere van, a nyilvános kulcsú rejtjelezés. A felhasználók csak akkor férhetnek hozzá az egyenleghez, ha rendelkeznek az ehhez használt privát azonosítóval. Az azonosítókat hardveres tárcákon tartják, amik gyakorlatilag olyanok, mint egy pendrive, és USB porton csatlakoztathatók a számítógéphez.

A most felfedezett sebezhetőség az eszköz mikrovezérlőit támadta: a privát azonosítót tartalmazót, illetve egy másikat, ami proxyként működik, és a képernyőfunkciókat és az USB interfészt támogatja. Ez utóbbi kevésbé biztonságos, és nem tud különbséget tenni a gyártó magasabb szintű szoftvere (firmware) és a hekkerek által írt kód között.

A Rashid által bemutatott sérülékenységet azért nehéz kihasználni, mert a támadónak hozzá kell férnie a hardverkulcshoz, hogy hozzáférjen a tartalmához. Rashid egyébként hónapokkal ezelőtt elküldte a felfedezést a gyártónak, akik nem ajánlottak neki jutalmat.

A Ledger vezérigazgatója, Eric Larcheveque – aki a Redditen azt nyilatkozta az ügyről, hogy eltúlozzák a jelentőségét –, megjegyezte, hogy Rashid látványosan dühös volt, amikor a bejelentett hiba javítását nem kezelték kritikus biztonsági frissítésként, és azzal, hogy úgy döntött, nyilvánosságra hozza az ügyet, indokolatlanul nagy pánikot keltett.

A Ledger néhány hete jelentette be, hogy egy másik, ettől független hiba is sebezhetővé tette az eszközöket a külső malware-támadásokkal szemben, amivel a hekkerek észrevétlenül férhettek hozzá a felhasználó kriptovalutájához.

(BBC News)