3月20日,Ledger发布了固件1.4.1版本,并附有一篇博客文章,承诺“继续深入探讨安全问题”。博文的开篇写道:“在透明和负责任的披露过程之后,我们对固件1.4补丁的固定攻击媒介进行了全面详细的评估,最初由三位安全研究人员报告。由于这些技术细节的发布可能会提升未修补设备的威胁级别,因此我们强烈建议用户更新其固件“。
这次漏洞,是由年仅15岁的安全员Saleem Rashid发现的。今天,Saleem Rashid发布了一篇关于他是如何实现这一漏洞的详细解释。“攻击者可以利用这个漏洞在用户接收设备之前破坏设备,或者在设备上使用物理方法地窃取私钥,在某些情况下,还可以远程窃取私钥。”Rashid解释说。“我已经在一个真正的Ledger Nano S上实验完成了这些攻击的假设,此外,我在几个月前已经将源代码发送给Ledger,以便能够及时修复它。”他还补充道,“安全很容易实现,只要动动手指即可“。
Ledger发言人说,他们已经与安全研究人员签署了赏金计划奖励协议,作为获得报酬的条件之一,同时指出这并不会妨碍研究人员发布他们自己的报告。这篇文章的措辞表明,这次三位安全研究人员都乐意遵守这项协议,但这可能不是全部事实。Rashid发布的推特是这样说的:
“I have not been paid a bounty by Ledgerbecause their responsible disclosure agreement would have prevented me frompublishing this technical report. I chose to publish this report in lieu ofreceiving a bounty from Ledger, mainly because Eric Larchevêque, Ledger’s CEO,made some comments on Reddit which were fraught with technical inaccuracy. As aresult of this I became concerned that this vulnerability would not be properlyexplained to customers.”
这位少年研究人员认为,Ledger试图淡化他发现的漏洞的严重性。
也许整件事中的核心是Ledger钱包的地位!
密码学权威Matthew Green在回应Rashid的发文时探讨了完全防止这种基于硬件的攻击的困难。他说:“上面的帖子或帖子中没有任何内容意味着你应该对这些病毒感到恐惧,但为了安全起见,升级是个好选择。“总帐用户应该更新到最新的固件,但没有任何理由人人自危。诸如Saleem Rashid展示的攻击表明难以创建一种免受所有已知形式攻击的设备。
领取专属 10元无门槛券
私享最新 技术干货