Il wallet hardware Ledger Nano S presenta gravi problemi di sicurezza: ecco cosa è successo e come rimediare

Il portafogli hardware Nano S ha avuto un’interruzione – l’esperto di sicurezza dei teenager, Saleem Rashid, ha riscontrato un problema con il portafoglio “privo di manomissioni”. La storia è iniziata il novembre 2017, quando Rashid ha segnalato un difetto al CTO di Ledger, Nicolas Bacca, che potrebbe consentire agli aggressori di rubare fondi agli utenti del portafoglio.

Rashid aveva osservato che il microcontrollore impiegato nel portafoglio non era sicuro. Mentre consentiva l’uso di pulsanti e display per inserire dati, era collegato come proxy al Secure Element (SE). Quest’ultimo conteneva le chiavi private, il che significava che un hacker poteva ingannare la SE in modi diversi. Ecco come: rivenditori e rivenditori potrebbero cambiare il firmware del microcontrollore che, ora compromesso, potrebbe verificare la sua “identità” verso la SE.

Ha inoltre spiegato che l’utente malintenzionato potrebbe controllare l’interfaccia utente e utilizzare il proprio codice dannoso per impostare la casualità su zero e aggiungere un seed di ripristino di propria scelta. Rashid ha scelto la parola “abbandono” per dimostrare il suo punto in un video caricato .

Ora che l’attaccante aveva la frase mnemonica, potevano ottenere facilmente le chiavi private.

Dopo che Rashid ha inviato la ricerca a Ledger, ha visto che la falla non è stata presa sul serio dal team. Tuttavia, hanno pubblicato un aggiornamento del firmware il 6 marzo, che è stato pesantemente criticato da Rashid. Ha pubblicato le sue opinioni su Twitter, poiché credeva che il team avrebbe dovuto postarlo come aggiornamento critico o camuffato in modo che gli hacker non avessero il tempo di usare questo trucco.

Il panico si è diffuso tra gli utenti che hanno partecipato a Reddit per discutere della loro prossima mossa. Eric Larchevêque, CEO di Ledger, ha risposto a uno di questi  post dicendo che era “un massiccio FUD”, e che Rashid stava cercando di attirare l’attenzione su di sé, quando il problema non era chiaramente di alta priorità. “Saleem è visibilmente sconvolto quando non abbiamo comunicato come” aggiornamento critico della sicurezza “e abbiamo deciso di condividere la sua opinione sull’argomento”, ha scritto Larchevêque.

Il 20 marzo, Ledger ha pubblicato un altro aggiornamento che illustrava tre problemi scoperti dai ricercatori del programma di taglie: Timothée Isnard, Saleem Rashid e Sergei Volokitin. È interessante notare che Rashid ha respinto questa affermazione perché la firma del Contratto del programma Bounty di Ledger non lo autorizzava a pubblicare un rapporto tecnico , cosa che faceva chiaramente lo stesso giorno. Per quanto riguarda i nuovi aggiornamenti, Rashid ha spiegato che non gli è stato permesso di ricevere il ‘release candidate’ dalla società, ma ha creduto che le nuove correzioni non fossero completamente esenti dagli attacchi degli hacker.

“È davvero possibile utilizzare una combinazione di tempi e firmware” difficile da comprimere “per raggiungere la sicurezza in questo modello?”, Ha scritto Rashid. Ha ricevuto il sostegno dal crittografo Matthew Green , che ha spiegato in un lungo thread su Twitter come l’adolescente sia riuscito a superare la tattica sicura di Ledger.

L’adolescente, che vive nel Regno Unito, ha scoperto in precedenza un problema nel portafoglio hardware di criptovaluta TREZOR One . Il problema è stato risolto con una comunicazione salutare tra le due parti. Il CEO di SatoshiLabs, Marek Palatinus, ha persino elogiato Rashid per il suo lavoro: “Il suo approccio creativo e creativo ci aiuta a creare un prodotto ancora più sicuro”.