Уязвимость в аппаратном кошельке Ledger позволяет похищать криптовалюту

Уязвимость в аппаратном кошельке Ledger позволяет похищать криптовалюту

Производитель не будет выпускать исправление, поэтому пользователям необходимо принять меры безопасности.

image

Производитель аппаратных криптовалютных кошельков Ledger предупредил своих пользователей об обнаруженной уязвимости, позволяющей осуществлять атаку «человек посередине».

Аппаратные USB-кошельки для хранения биткойнов и других криптовалют считаются самыми безопасными, так как не подключены к интернету. Тем не менее, для осуществления транзакций они все равно должны подключаться к компьютеру с выходом в Сеть. По словам исследователей, злоумышленники могут проэксплуатировать уязвимость в Ledger, пока устройство подключено к компьютеру.

Согласно отчету исследователей, кошелек генерирует отображаемый адрес для получения криптовалюты с помощью JavaScript-кода, запущенного на хосте. Вредоносное ПО может заменить этот код на другой адрес, и все будущие депозиты будут переводиться на кошелек злоумышленников. Поскольку ПО кошелька хранится в папке AppData, вредоносной программе сравнительно легко заменить адрес. Для этого нужно всего лишь изменить одну строку кода. Если атака пройдет успешно, на первых порах жертва даже не догадается, что что-то не так.

Исследователи уведомили производителя о проблеме 4 января текущего года. 27 января с ними связался технический директор Ledger. По его словам, компания не будет выпускать исправление, но приложит все усилия, чтобы предупредить пользователей и дать им возможность защититься. Исследователи предложили производителю добавить в кошелек функцию, запрашивающую подтверждение адреса, однако предложение не было принято.

С целью защитить себя от атак пользователям биткойн-кошельков рекомендуется перед каждой транзакцией проверять целостность адреса с помощью кнопки мониторинга. Пользователям Ethereum-кошельков исследователи рекомендуют использовать его подобно программным кошелькам и подключать только к компьютерам под управлением ОС Live CD.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.