En undersøgelse offentliggjort for nylig (link) advarer om, hvor let et muligt "mand i midten"-angreb mod Ledger-brugere kunne være, sammenfattende:
"Ledger wallets genererer den viste modtageadresse ved hjælp af JavaScript-kode, der kører på værtsmaskinen. Dette betyder, at malware simpelthen kan erstatte koden, der er ansvarlig for at generere modtageadressen, med sin egen adresse, hvilket forårsager, at alle fremtidige indbetalinger sendes til angriberen.
Fordi modtageadresser konstant ændrer sig som en del af tegnebogens sædvanlige aktivitet, har brugeren ingen triviel måde (som at genkende sin adresse) til at verificere modtagelsesadressens integritet.
Så vidt han ved, er den viste modtageadresse hans faktiske modtageadresse."
Selvom der ikke er nogen rapporter om metoden, der bruges endnu, blev der givet et proof of concept i undersøgelsen, hvilket fik Ledger til at være enig i resultaterne og udsende følgende erklæring via Twitter:
Ledger solgte over 1 million hardware-punge i 2017 og er i øjeblikket den mest populære hardware-cryptocurrency-lagerenhed.
-------"Ledger wallets genererer den viste modtageadresse ved hjælp af JavaScript-kode, der kører på værtsmaskinen. Dette betyder, at malware simpelthen kan erstatte koden, der er ansvarlig for at generere modtageadressen, med sin egen adresse, hvilket forårsager, at alle fremtidige indbetalinger sendes til angriberen.
Fordi modtageadresser konstant ændrer sig som en del af tegnebogens sædvanlige aktivitet, har brugeren ingen triviel måde (som at genkende sin adresse) til at verificere modtagelsesadressens integritet.
Så vidt han ved, er den viste modtageadresse hans faktiske modtageadresse."
Selvom der ikke er nogen rapporter om metoden, der bruges endnu, blev der givet et proof of concept i undersøgelsen, hvilket fik Ledger til at være enig i resultaterne og udsende følgende erklæring via Twitter:
Det er vigtigt at bemærke - dette kan ikke betragtes som en 'sikkerhedsfejl' i Ledger, men snarere risikoen for at tilslutte en Ledger til en malware-inficeret computer.For at afbøde manden i den midterste angrebsvektor rapporteret her https://t.co/GFFVUOmlkk (påvirker alle hardware wallet-leverandører), bekræft altid din modtageadresse på enhedens skærm ved at klikke på "skærmknappen" billede.twitter.com/EMjZJu2NDh— Ledger (@LedgerHQ) Februar 3, 2018
Ledger solgte over 1 million hardware-punge i 2017 og er i øjeblikket den mest populære hardware-cryptocurrency-lagerenhed.
Forfatter: Ross Davis
San Francisco News Desk
Ingen kommentarer
Send en kommentar