15-летний школьник из Англии Салим Рашид заявил, что сумел взломать один из самых популярных USB-кошельков для криптовалют Ledger. Уязвимость, которую нашел Рашид, позволяла подделать электронные подписи, хранящиеся на устройстве.
Как взломал
Ledger используют две рабочие платы — одна из них защищена на аппаратном уровне, но не умеет работать с USB, кнопками и интерфейсами. Вторая наоборот все это умеет, но не защищена. И вот если подправить программный код второй платы, то можно получить доступ к приватным ключам пользователей.
Весь процесс взлома он подробно задокументировал в в формате небольшого видеоролика, а так же выложил программный код на GitHub.
Что говорят создатели Ledger
Рашид утверждает, что сообщил создателям кошелька об уязвимости еще 4 месяца назад, но они оказались не особо сговорчивыми. Создатели Ledger при этом написали, что все 4 месяца держали связь с парнем и беспокоиться не о чем. Во-первых, для взлома кошелька нужно модифицировать прошивку. Поэтому в первую очередь рискуют те, кто купил Ledger с рук на eBay или другой торговой площадке. Во-вторых, они выпустили новую прошивку версии 1.4.1, которая исправляет три эксплойта, один из которых и нашел Рашид.
Источник: Techcrunch
Источник: