Уязвимость в аппаратном кошельке Ledger позволяет похищать криптовалюту

Производитель аппаратных криптовалютных кошельков Ledger предупредил своих пользователей об обнаруженной уязвимости, позволяющей осуществлять атаку «человек посередине».

Аппаратные USB-кошельки для хранения биткойнов и других криптовалют считаются самыми безопасными, так как не подключены к интернету. Тем не менее, для осуществления транзакций они все равно должны подключаться к компьютеру с выходом в Сеть. По словам исследователей, злоумышленники могут проэксплуатировать уязвимость в Ledger, пока устройство подключено к компьютеру.

Согласно отчету исследователей, кошелек генерирует отображаемый адрес для получения криптовалюты с помощью JavaScript-кода, запущенного на хосте. Вредоносное ПО может заменить этот код на другой адрес, и все будущие депозиты будут переводиться на кошелек злоумышленников. Поскольку ПО кошелька хранится в папке AppData, вредоносной программе сравнительно легко заменить адрес. Для этого нужно всего лишь изменить одну строку кода. Если атака пройдет успешно, на первых порах жертва даже не догадается, что что-то не так.

Исследователи уведомили производителя о проблеме 4 января текущего года. 27 января с ними связался технический директор Ledger. По его словам, компания не будет выпускать исправление, но приложит все усилия, чтобы предупредить пользователей и дать им возможность защититься. Исследователи предложили производителю добавить в кошелек функцию, запрашивающую подтверждение адреса, однако предложение не было принято.

С целью защитить себя от атак пользователям биткойн-кошельков рекомендуется перед каждой транзакцией проверять целостность адреса с помощью кнопки мониторинга. Пользователям Ethereum-кошельков исследователи рекомендуют использовать его подобно программным кошелькам и подключать только к компьютерам под управлением ОС Live CD.

Источник