• Home
  • Química
  • Astronomía
  • Energía
  • Naturaleza
  • Biología
  • Física
  • Electrónica
    •  science >> Ciencia >  >> Electrónica
    Un joven de 15 años dijo que descubrió una vulnerabilidad en la billetera de hardware

    Los titulares tararearon con el descubrimiento por un Saleem Rashid de 15 años de una vulnerabilidad que encontró en las carteras de hardware de Ledger. Escribió en su blog el 20 de marzo.

    ¿Qué es Ledger y cuáles son sus carteras de hardware? Libro mayor, dijo Krebs sobre seguridad , uno de los numerosos sitios que buscan la hazaña del adolescente, es una empresa cuyos productos están diseñados para salvaguardar físicamente las claves utilizadas para recibir o gastar las criptomonedas del usuario.

    Por ejemplo, la empresa describe su Ledger Nano S como "un Bitcoin, Cartera de hardware Ethereum y Altcoins, basado en sólidas funciones de seguridad para almacenar activos criptográficos y asegurar pagos digitales. Se conecta a cualquier computadora (USB) e incorpora una pantalla OLED segura para verificar y confirmar cada transacción con un solo toque en sus botones laterales ".

    Entonces, como explicó Krebs, "Las carteras de hardware como las vendidas por Ledger están diseñadas para proteger las claves privadas del usuario de software malintencionado que podría intentar recolectar esas credenciales de la computadora del usuario. Los dispositivos permiten transacciones a través de una conexión a un puerto USB en la computadora del usuario, pero no revelan la clave privada a la PC ".

    ¿Tener claves privadas que se puedan conectar a una PC a través de un puerto USB es la salvaguardia perfecta o la tormenta perfecta? Cualquiera que pensara en tal pregunta se sintió atraído por el blog publicado por Rashid. Dijo que un atacante podría usar la vulnerabilidad para obtener claves privadas del dispositivo.

    Krebs informó que Kenneth White, director del Open Crypto Audit Project, quedó impresionado con el código de ataque de prueba de concepto de Rashid, que Rashid envió a Ledger hace aproximadamente cuatro meses. (Saleem Rashid agradeció a Josh Harvey por proporcionarle un Ledger Nano S, para trabajar en su hazaña).

    Dan Goodin en Ars Technica presentó un relato de lo que hizo Rashid. Dijo que el joven de 15 años mostró un código de prueba de concepto que le permitió "abrir la puerta trasera" de la billetera de hardware Ledger Nano S.

    John Biggs en TechCrunch señaló que el CEO de Ledger, Eric Larchevêque, afirmó que no había informes de los efectos de la vulnerabilidad en ningún dispositivo activo. Joon Ian Wong, Cuarzo , De manera similar informó que Ledger dijo que no tenía conocimiento de ningún fondo que haya sido robado de los dispositivos ".

    Funcionarios del libro mayor, mientras tanto, actualizó el Nano S para abordar la vulnerabilidad. Alphr informó que Ledger emitió un parche para Ledger Nano S, cuatro meses después de la divulgación inicial. En lo que respecta a Nano S, Ledger dijo que se abordó el problema.

    El blog de la empresa publicado el 20 de marzo "Firmware 1.4:profundice en tres vulnerabilidades que se han solucionado, "con respecto a las" mejoras de seguridad realizadas en nuestro firmware ". Dijeron que alentaron encarecidamente a sus usuarios a actualizar su firmware siguiendo su guía paso a paso.

    Según Ledger, la actualización del firmware corrige tres problemas de seguridad. "El proceso de actualización verifica la integridad de su dispositivo y una actualización 1.4.1 exitosa es la garantía de que su dispositivo no ha sido el objetivo de ninguno de los ataques parcheados. No es necesario realizar ninguna otra acción, su semilla / claves privadas están seguras ".

    Ledger tiene oficinas en París, Vierzon y San Francisco.

    En el panorama general, como dicen muchos expertos en seguridad, Es mejor no asumir que ningún dispositivo es inmune a los ataques.

    Biggs en TechCrunch sopesó:"En última instancia, Esta brecha nos muestra que las carteras de hardware son una buena solución, pero aún no infalibles. Las actualizaciones periódicas y la gestión cuidadosa de las claves siguen siendo de vital importancia ".

    Citado por noticias de la BBC , Craig Young, investigador de la empresa de seguridad Tripwire, comentó:"Es muy difícil proteger completamente cualquier dispositivo de los atacantes con acceso físico. Por eso es tan importante contar con fabricantes de componentes confiables, comerciantes, e instalaciones de reparación ".

    © 2018 Tech Xplore




    Electrónica
    Ciencia
    Ciencia
  • Química
  • Astronomía
  • Energía
  • Naturaleza
  • Biología
  • Física
  • Electrónica
  • Geología
  • Eclipse solar
  • Matemáticas
  • Otro
  • Nanotecnología
    • Electrónica
    Ciencia
    © Ciencia https://es.scienceaq.com