Adolescente britânico encontra maneira de “enganar” carteiras de hardware Ledger

O fabricante das carteiras de criptomoedas, Ledger, lançou uma nova versão do software (v. 1.4.2) para dispositivos Nano S.

Publicado em 23 de Março de 2018 por

O britânico Salim Rashid, de 15 anos, disse que há um exploit nas carteiras hardware de criptomoedas Ledger Nano S e Nano Blue que permite extrair autonomamente a chave privada e usá-la para alterar endereços de destino das transações de saída.

Segundo Rashid, ele comunicou o problema à Ledger em novembro de 2017, mas desde então, a vulnerabilidade não foi eliminada. Além disso, alega-se que numa correspondência, o diretor executivo da empresa, Éric Larchevêque, chamou o exploit de “não crítico”.

Ontem, Rashid publicou uma postagem em seu blog sob o título “Quebrando o modelo de segurança da Ledger”, no qual alega que ainda pode “extrair uma chave privada” e usá-la para alterar endereços de destino de transações de saída. Para fazer isso, é preciso modificar o firmware do dispositivo antes que ele seja ativado pelo usuário final, portanto, o perigo é principalmente para os compradores do eBay e de outros sites semelhantes.

A essência da exploração reside no fato de que as carteiras atuais da Ledger usam duas placas durante a operação, que Rashid, para simplificar sua explicação, designou como SE e MCU. A primeira é protegida no nível do hardware, mas não suporta USB, botões e telas de interface – todas essas funções são por conta da MCU, que, por sua vez, não possui a proteção necessária contra interferência e serve como uma espécie de buffer de troca.

Adolescente britânico encontra maneira de "enganar" carteiras de hardware Ledger. BTCSoul.com

De acordo com Rashid, potenciais invasores podem fazer alterações no software da MCU e, consequentemente, obter acesso a chaves privadas de usuários – procedimento que o adolescente demonstra em seu vídeo. Além disso, ele publicou instruções relevantes no GitHub. Vale notar que, de acordo com Rashid, todos os dispositivos Ledger com versão de firmware 1.3.1 e anteriores são vulneráveis.

Por sua vez, os desenvolvedores da Ledger no mesmo dia lançaram uma nova versão do software – 1.4.1. Alega-se que a atualização corrige três exploits, entre os quais aquele descrito por Rashid.

“Durante a atualização, a integridade do seu dispositivo é verificada, portanto, uma atualização bem-sucedida para a versão 1.4.1 garante que nenhuma alteração tenha sido feita na carteira. Não há necessidade de quaisquer ações adicionais, pois suas chaves privadas e seeds estão seguros”, enfatiza o blog da Ledger.

Lembre-se de que em dezembro do ano passado, surgiram informações sobre problemas com a infraestrutura da Ledger, quando no contexto de uma nova rodada de crescimento da maioria das principais criptomoedas, várias populares plataformas ficaram off-line.

Publicidade

Publicidade

Além disso, no início de fevereiro de 2018, outra vulnerabilidade crítica foi encontrada na carteira de hardware da Ledger.

Chrys
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.

Compartilhe!

Leave a Comment