Pochi giorni dopo aver subito una violazione dei dati, Ledger è di nuovo sotto i riflettori, questa volta a causa di una vulnerabilità nei portafogli che consente a un utente malintenzionato di spendere validamente Bitcoin.
Monokh, un ricercatore crittografico, ha pubblicato sul suo blog è stata rilevata una vulnerabilità nel file wallet Ledger, che consentono a un utente malintenzionato di far firmare una transazione a un utente Bitcoin in modo involontario ma altrettanto valido; un fatto che può senza dubbio causare la perdita di fondi BTC.
Il ricercatore sottolinea che i dispositivi di portafoglio Ledger consentono l’esposizione di chiavi pubbliche di Bitcoin nel blockchain e la funzionalità delle firme fuori catena, quando si effettuano transazioni con criptovalute basate su Bitcoin, come Litecoin y Dash. Si tratta di una vulnerabilità che può essere sfruttata da un aggressore per far credere alla vittima che sta firmando una transazione in Litecoin, ad esempio, ma in realtà starebbe firmando una transazione in Bitcoin.
"Il dispositivo espone la chiave pubblica bitcoin (mainnet) e la funzionalità di firma al di fuori dell'applicazione "Bitcoin". Presenta richieste di conferma della transazione fuorvianti che indicano gli indirizzi e gli importi dell'applicazione selezionata quando, in realtà, si stanno firmando diverse transazioni.
Monokh afferma che sfruttando questa vulnerabilità, quando si conferma una transazione Litecoin ad un indirizzo Litecoin, sulla rete verrebbe confermata anche una transazione Bitcoin validamente firmata.
Si può essere interessati: Ledger segnala un attacco hacker che ha fatto trapelare informazioni sui clienti negli ultimi due mesi
Monokh consiglia di isolare le funzionalità di ciascuna criptovaluta
Nella sua pubblicazione, il ricercatore afferma che il vettore di attacco è presente in primo luogo a causa della progettazione dei portafogli Ledger, che nel caso di Bitcoin, tutti gli altcoin che derivano dalla criptovaluta principale condividono lo stesso percorso per ricavare le chiavi. che espone sia le chiavi che la funzionalità. In secondo luogo, il ricercatore sottolinea anche che Ledger non ha isolato le une dalle altre le funzionalità delle criptovalute supportate nei portafogli.
Ricordiamolo portafogli hardware I ledger sono dispositivi fisici che archiviano e gestiscono le chiavi utente e gli indirizzi delle diverse criptovalute supportate. Ma poiché non sono isolati l'uno dall'altro, quando si elabora una transazione in una criptovaluta basata su Bitcoin, il dispositivo portafoglio consente la comunicazione esterna per richiedere informazioni sensibili quando si sblocca un asset per effettuare un trasferimento, esponendo le chiavi, firmando messaggi e confermando le transazioni .
A causa di questo grave problema, Monokh sottolinea che “Dal punto di vista della sicurezza, l’aspettativa è questa le applicazioni bloccate non possono essere toccate dai messaggi esterni”. Pertanto, affinché i fondi degli utenti possano essere archiviati in modo completamente sicuro in questi portafogli, gli sviluppatori devono isolare e bloccare ogni applicazione e funzionalità di ciascuna delle criptovalute supportate all'interno dei dispositivi. Pertanto, quando si effettua una transazione con una determinata criptovaluta, il resto degli asset verrà bloccato automaticamente, proteggendo i fondi depositati.
Ledger riconosce la vulnerabilità, ma non è stato in grado di risolverla
Vista la pubblicazione fatta dal ricercatore, Ledger ha riconosciuto di essere a conoscenza della vulnerabilità, realtà considerata ancora più grave della vulnerabilità stessa, poiché in nessun momento gli sviluppatori del wallet hanno avvertito della stessa, né i dispositivi hanno mostrato errori o avvisi quando effettuare e confermare una transazione ingannevole.
El comunicazione ufficiale rilasciato dalla società riconosce che:
"Questa restrizione del percorso non è stata applicata all'applicazione Bitcoin e alla maggior parte dei suoi derivati, che consentono a un derivato Bitcoin (ad esempio Litecoin) di ottenere chiavi pubbliche o firmare transazioni Bitcoin."
Alludendo alla restrizione prevista nelle roadmap di altre criptovalute, che, non essendo correlate tra loro, non consentono la derivazione di chiavi o firme, nel caso di Bitcoin e dei suoi altcoin derivati che condividono la stessa roadmap, la comunicazione esterno se consente la derivazione di chiavi e firme. Allo stesso modo, dopo aver ammesso e spiegato l'attuale vulnerabilità, Ledger afferma che risolverla è un problema davvero difficile per gli sviluppatori, alludendo che si tratta di una questione dibattuta tra la sicurezza degli utenti e l'usabilità del portafoglio.
“Alcuni fork di BTC utilizzano lo stesso percorso del fork di BTC. "Se impedissimo a questi fork di utilizzare il percorso di bypass BTC, ciò impedirebbe semplicemente agli utenti di utilizzare Ledger Nano S/X con questi fork."
Viste le dichiarazioni di Ledger, Monokh sostiene che conoscere questo errore da diversi mesi e non risolverlo è semplice negligenza da parte dell'azienda e mancanza di rispetto nei confronti delle migliaia di utenti che come lui riponevano la loro fiducia nel prodotto.
“Forse la conclusione più scioccante è la negligenza di Ledger nella gestione di questo problema. Per un problema di questa gravità, non tentare una soluzione, non comunicare i progressi ed evitare la divulgazione, è irrispettoso nei confronti della fiducia che le persone (me compreso) hanno riposto in loro”.
Continua a leggere: Kraken Security Labs ha rilevato una vulnerabilità di sicurezza nei portafogli hardware Ledger
