Уязвимость в аппаратном кошельке Ledger обнаружил программист 15 лет
Производитель аппаратных кошельков Ledger выпустил обновление программного обеспечения, восстанавливающее ряд пробелов в системе безопасности. Уязвимости были обнаружены тремя независимыми программистами, один из которых, Салим Рашид (Saleem Rashid) — пятнадцатилетний юноша из Британии. Обнаруженный им вектор атаки является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.
20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление «тщательного анализа проблем безопасности»:
«Следуя принципам прозрачности и ответственности при раскрытии информации, мы предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО».
Наибольшее внимание привлек к себе обнаруженный Салимом Рашидом вредоносный код, как по причине юного возраста исследователя, так и из-за его публикации, содержащей подробное объяснение того, каким образом ему удалось найти проблему.
«Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, — объясняет Рашид, — я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код в компанию Ledger, чтобы они могли его воспроизвести».
Энтузиаст отказывается от вознаграждения
Компания Ledger заявляет, что специалистов по безопасности попросили подписать Соглашение о вознаграждении как одно из условий оплаты их работы, и в то же время отметили, что это не мешает им публиковать собственные отчеты. В статье написано, что предположительно все три специалиста с радостью приняли предложение, однако это не так. На самом деле Рашид отказался от вознаграждения, объяснив это следующим образом:
«Я не получал вознаграждения от Ledger, так как их соглашение о раскрытии информации не дает мне право публиковать технический отчет. Я выбрал для себя публикацию отчета вместо получения вознаграждения от Ledger, главным образом потому, что руководитель Ledger Эрик Ларчевек (Eric Larchevêque) сделал несколько комментариев на Reddit, которые были полны технических неточностей. В результате я забеспокоился, потому что уязвимость могут объяснить клиентам не совсем правильно».
Юный программист считает, что Ledger хотят уменьшить серьезность обнаруженной им уязвимости. Публикация полного и откровенного отчета о том, как он взломал кошелек Ledger и отказ от права на вознаграждение, никак не навредило его репутации. Салиим Рашид умен не по годам, а его статья по эксплойту длинная, но будет интересна всем, увлекающимся этим вопросом.
Кошельки в безопасности
Во всей этой путанице остается невыясненным вопрос безопасности кошельков Ledger. Преподаватель криптографии Мэтью Грин (Matthew Green) опубликовал в Twitter ответ на публикацию Рашида, в котором он рассмотрел сложность полного предотвращения аппаратных атак данного типа. В конце публикации он заверил:
«Ничто в публикации или обнаруженной угрозе не говорит о том, что вы должны испугаться этих уязвимостей или что вам нужно перейти на другие кошельки. Просто соблюдайте осторожность».
Пользователям Ledger следует обновиться до последней версии прошивки, однако повода для беспокойства нет. Атаки, подобные той, которую продемонстрировал Салим Рашид, прежде всего, показывают сложность создания устройства, невосприимчивого ко всем известным видам атак.