Компания-производитель электронных кошельков Ledger выпустила обновление ПО, восстанавливающее ряд пробелов в системе безопасности. Уязвимости нашли три не связанных между собой независимых программиста.
Самый значимый вклад в устранение "дыр" сделал Салим Рашид (Saleem Rashid) - пятнадцатилетний юноша из Британии. Он нашел "вектор атаки", который является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.
20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление "тщательного анализа проблем безопасности":
"Следуя принципам прозрачности и ответственности при раскрытии информации, мы предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО".
Наибольшую заботу инженеров компании вызывает обнаруженный Салимом Рашидом вредоносный код, о котором юный программист подробно написал и дал объяснение того, каким образом ему удалось найти проблему.
"Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код в компанию Ledger, чтобы они могли его воспроизвести".
Компания Ledger заявляет, что специалистов по безопасности попросили подписать Соглашение о вознаграждении как одно из условий оплаты их работы, и в то же время отметили, что это не мешает им публиковать собственные отчеты.
Салим Рашид отказался от вознаграждения, объяснив это следующим образом: "Я не получал вознаграждения от Ledger, так как их соглашение о раскрытии информации не дает мне право публиковать технический отчет. Я выбрал для себя публикацию отчета вместо получения вознаграждения отLedger, главным образом потому, что руководитель Ledger Эрик Ларчевек (Eric Larchevêque) сделал несколько комментариев на Reddit, которые были полны технических неточностей. В результате я забеспокоился, потому что уязвимость могут объяснить клиентам не совсем правильно".
Юный программист считает, что Ledger хотят уменьшить серьезность обнаруженной им уязвимости. Во всей этой путанице остается невыясненным вопрос безопасности кошельков Ledger. Преподаватель криптографии Мэтью Грин (Matthew Green) опубликовал в Twitter ответ на публикацию Рашида, в котором он рассмотрел сложность полного предотвращения аппаратных атак данного типа.
В конце публикации он заверил: "Ничто в публикации или обнаруженной угрозе не говорит о том, что вы должны испугаться этих уязвимостей или что вам нужно перейти на другие кошельки. Просто соблюдайте осторожность". То есть просто обновить кошелек Ledger до последней версии прошивки.
Атаки, подобные той, которую продемонстрировал Салим Рашид, прежде всего, показывают сложность создания устройства, невосприимчивого ко всем известным видам атак.