News

Ragazzo di 15 anni scopre importante vulnerabilità nel Ledger nano S

Nella giornata di ieri, 20 Marzo, Ledger ha rilasciato un aggiornamento al suo firmware arrivando alla versione 1.4.1. Ha accompagnato l’aggiornamento con un post sul blog che prometteva una correzione di una vulnerabilità. Il post recitava:

“Per un processo di divulgazione trasparente e responsabile, forniamo una valutazione dettagliata dei vettori di attacco fixati nella patch 1.4 del firmware, inizialmente segnalate da tre ricercatori della sicurezza. Poiché la pubblicazione di questi dettagli tecnici potrebbe elevare il livello di vulnerabilità dei dispositivi non patchati, incoraggiamo vivamente i nostri utenti ad aggiornare il loro firmware “.

I dettagli dell’exploit

exploit vulnerabilità

L’exploit è stato scoperto da Saleem Rashid. Esso ha raccolto molto attenzione su di se, sia per la sua tenera età di 15 anni, sia per la pubblicazione dettagliata su come ha raggiunto l’impresa. Un utente malintenzionato può sfruttare questa vulnerabilità per compromettere il dispositivo prima che l’utente ne entri in possesso o per rubare le chiavi private dal dispositivo fisicamente o, in alcuni casi, da remoto.

“Ho dimostrato questo attacco su un vero e proprio Ledger Nano S. Inoltre, ho inviato il codice sorgente a Ledger alcuni mesi fa, in modo che potessero riprodurlo.Ho anche riferito a un blog sulla sicurezza che Ledger rende così facile aprire il dispositivo che bastano le unghie per aprirlo e manometterlo”.

Ha pubblicato un rapporto completo su come ha hackerato il wallet Ledger che potete trovare a questo indirizzo (in inglese).

La ricompensa per il giovane hacker

Ledger afferma che i ricercatori della sicurezza sono stati invitati a firmare un accordo di ricompensa per il programma Bounty come una delle condizioni per essere retribuiti per i loro sforzi. Ledger ha sottolineato che ciò non impedisce ai ricercatori di pubblicare le proprie relazioni. L’articolo sembra formulato in modo tale da suggerire che tutti e tre i ricercatori fossero felici di rispettare questo accordo, ma ciò non è del tutto vero.

Rashid infatti ha rinunciato alla sua ricompensa, spiegando che:

Ho scelto di non accettare la ricompensa perché il loro accordo di divulgazione responsabile mi avrebbe impedito di pubblicare questo rapporto tecnico. Ho scelto invece di pubblicare lo stesso il rapporto principalmente perché Eric Larchevêque, CEO di Ledger, ha fatto alcuni commenti su Reddit che erano zeppi di inesattezza tecnica. Di conseguenza, mi sono preoccupato che questa vulnerabilità non venisse correttamente spiegata ai clienti.

Il giovane Saleem Rashid è dell’opinione che Ledger stesse cercando di minimizzare la serietà dell’exploit che aveva scoperto.

Il Ledger nano S è ancora sicuro?

ledger vulnerabilità

L’insegnante di crittografia Matthew Green ha pubblicato una risposta al blog di Rashid. Ha messo in luce la difficoltà di prevenire completamente gli attacchi basati su hardware di questo tipo. Finisce, rassicurando tutti possessori:

“Nulla nel rapporto dovrebbe portarti a pensare che altri wallet fisici siano migliori. Gli utenti di Ledger dovrebbero semplicemente aggiornare al firmware più recente, ma non c’è motivo di allarme. Attacchi come quello dimostrato da Saleem Rashid mostrano la difficoltà di creare un dispositivo immune da tutte le forme di attacco conosciute.

 

cripto

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.


La più grande community italiana dedicata alle criptovalute: Italian Crypto Club (ICC)

1xbit

[VIA]

Michele Porta

Ingegnere informatico. Da sempre appassionato di tecnologia, hardware e software. Sono entrato nel mondo delle criptovalute negli ultimi anni imparando a fare trading e studiando gli aspetti tecnologici e implementativi delle principali cryptocoin sul mercato. Spero in un futuro privo di contanti e basato sulla sicurezza garantita dalla blockchain.
Follow Me:

Related Posts

Rispondi