Ledger:最近发现的钱包漏洞并不重要

微信截图_20181229143026.jpg

Ledger声称,最近发现的硬件钱包中的漏洞在12月28日的官方媒体博客文章中并不重要。

昨天在柏林的35C3 Refreshing Memories会议上,研究人员声称他们能够破解Trezor One,Ledger Nano S和Ledger Blue加密货币钱包。

在该帖子中,该公司解释说,似乎有“三条攻击路径可能会给人一种关键漏洞被揭露的印象”,但据他们说“事实并非如此”。

Ledger说漏洞并不重要的原因是“他们没有成功地在被盗设备上提取任何种子和PIN”,“存储在安全元素上的敏感资产仍然是安全的”。

据该公司称,Ledger Nano S漏洞“证明,物理修改Ledger Nano S并在受害者的PC上安装恶意软件可能允许附近的攻击者在输入PIN并启动比特币(BTC)应用程序后签署交易。”

Ledger声称,这“非常不实用,而且一个有动力的黑客肯定会使用更有效的技巧。”虽然研究人员声称漏洞允许他们“将恶意交易发送到ST31 [安全芯片],甚至自己确认交易。” 

但Ledger对此予以否认,称:“他们的固件在Bootloader模式下运行在MCU上。 这意味着你必须在启动时按下左键,安全元素甚至不启动。”

Ledger还声称Ledger Blue攻击的演示“有点不切实际且不实用”,声称“接收器和受攻击设备的位置必须完全相同,USB电缆的位置也是最重要的(因为它起着天线的作用)。”

该帖子称“如果条件不完全相同,机器学习分类器将无法正常工作。”因此,Ledger得出结论:“这种攻击绝对有趣,但不允许在实际情况下猜测某人的PIN(它要求你根本不要移动你的设备)。”

此外,由于此漏洞,Ledger表示下一个Ledger Blue固件更新将会有一个随机的密码键盘。

该公司还表示,他们“感到遗憾的是研究人员没有遵循Ledger的Bounty计划中概述的标准安全原则。”根据Ledger的说法,“在安全领域,通常采取的方式是负责任的披露。 这是一种漏洞仅在一段合理的时间后才会被披露的模型,该漏洞允许修补漏洞并降低用户的风险。“

11月,Ledger宣布扩展到纽约,以发展其提供Ledger Vault的机构托管。 此外,该公司最近还与加密支付创业公司Crypto.com签署了一项协议,允许用户使用加密货币支付其产品的费用。

上一篇
下一篇