Ledger дали комментарии по поводу информации об уязвимости их устройств
Производитель популярных аппаратных кошельков для хранения криптовалют Ledger отреагировал на презентацию команды wallet.fail, заявившей о выявлении нескольких векторов атак на его устройства.
В частности, физическую модификацию кошелька Ledger Nano S с последующей установкой вредоносного ПО на компьютер жертвы и возможностью подписания транзакций после ввода PIN-кода они называют «непрактичной».
Согласно утверждению компании, получение физического доступа к устройству и установка вредоносного ПО на компьютер жертвы – это слишком сложная процедура, которая к тому же требует от хакера ожидать инициации транзакции самим пользователем, поэтому вряд ли кто-то возьмётся за его реализацию. В то же время, они не отрицают, что это возможно.
Другой сценарий, где исследователи установили собственную прошивку на микропроцессор, действительно позволяет перевести устройство в режим отладки, отмечает Ledger, добавляя, что этим возможности предполагаемого злоумышленника, скорее всего, ограничиваются.
Аналогичным образом разработчики комментируют извлечение PIN-кода из устройства Ledger Blue при помощи атаки типа «контролируемое машинное обучение».
Также Ledger раскритиковал команду wallet.fail за то, что они решили публично показать уязвимости их устройств на конференции, а не прибегли к программе по отлову багов, предусмотренной для таких случаев.
Источник: cryptocurrency.tech