forklog.com
Специалисты по кибербезопасности Kraken Security Labs выявили два новых типа атак, которые представляли потенциальную опасность для владельцев популярных аппаратных кошельков Ledger Nano X.
*NEW* Kraken Security Labs has identified supply chain attacks that could compromise the security of @Ledger Nano X owners.
The attacks could occur if a #ledgernanox were to be intercepted during shipping or purchased from a malicious reseller. https://t.co/UJkO7KGbA6
— Kraken Exchange (@krakenfx) July 8, 2020
Информация о найденных уязвимостях до ее раскрытия была передана производителю кошельков. В Ledger заявили, что проблемы устранены с новым обновлением прошивки.
Thank you @krakenfx for the great report. Users’ security is our top priority. Rest assured that #crypto on your #Ledger Nano X remain secure. Its security relies on the Secure Element — not the MCU chip. We patched this with the latest firmware update:https://t.co/z6skQbQE0J
— Ledger (@Ledger) July 8, 2020
Риск возник для тех устройств, которые попали в руки злоумышленников до их получения конечными пользователями. Это могло произойти в процессе доставки или в результате действий недобросовестного ритейлера. Атаки позволяли получить доступ к компьютеру, к которому подключен кошелек, и установить на него вредоносное ПО для кражи активов.
В первом случае, названном Bad Ledger, злоумышленник мог изменить прошивку процессора, пользуясь отсутствием дополнительной защиты. В результате кошелек начинал выполнять функцию устройства ввода наравне с клавиатурой, что позволяло передавать компьютеру произвольные команды.
В Ledger Nano X по умолчанию предусмотрен режим отладки, который отключается после установки первого приложения, например биткоин-кошелька. Тем не менее до этого времени злоумышленник мог переписать прошивку процессора.
На представленной ниже видеозаписи демонстрируется, как после подключения «инфицированного» Ledger Nano X к ноутбуку тот начинает выполнять функции клавиатуры и открывает сайт Kraken.
Во втором случае, названном Blind Ledger, злоумышленники могли использовать незащищенность процессора кошелька для отключения его дисплея. Это могло стать элементом атаки при помощи социальной инженерии. «Зараженный» Ledger Nano X выключал работу экрана, а потенциальную жертву убеждали нажать комбинацию клавиш для одобрения вредоносной транзакции.
Чтобы не попасть в подобные ситуации в Kraken рекомендует пользователям покупать аппаратные кошельки только у авторизованных реселлеров производителя и проверять все транзакции на самом устройстве, обращая особенное внимание на не характерное для него поведение.
Напомним, ранее специалисты Kraken Security Labs нашли критическую уязвимость в аппаратных кошельках Trezor, открывавшую возможность извлечения seed-фразы в течение 15 минут.