首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

15岁男孩发现硬件钱包Ledger漏洞,00后生力军逆袭!

3月20日,硬件钱包制造商Ledger发布了一份固件更新,以修补几个安全漏洞。这些漏洞是由三名白帽黑客发现的,其中一名叫Saleem Rashid,是一名15岁的英国男孩。他发现的攻击载体是基于硬件的,并不局限于Ledger设备,这使得单靠软件很难完全缓解这个问题。

谁发现的漏洞?

3月20日,Ledger发布了固件更新1.4.1,并附有一篇博客文章,承诺“深入探讨安全问题”:

在负责任的公开漏洞信息之后,我们对固件1.4补丁的攻击媒介进行了全面详细的评估,这最初由三位安全研究人员报告的。由于这些技术细节的发布可能会降低未修补设备的安全级别,并会带来潜在的威胁,因此我们强烈建议用户固件进行更新。

Saleem Rashid发现这个漏洞吸引了众人的目光!因为他不仅年龄很小,而且他还发表了一篇关于他如何实现这一壮举的详解文章:

攻击者在用户接收设备之前可以利用这个漏洞破坏该设备,或者在设备上窃取私钥,在某些情况下,还可以远程窃取私钥。我已经在一个真正的硬件钱包Ledger Nano S上演示了这种攻击。此外,我在几个月前将源代码发送给Ledger,这样他们就可以打开这个设备,这样就可以很轻松地打开设备并进行篡改……

白帽黑客放弃了他的赏金

硬件钱包制造商Ledger说安全研究人员已被要求签署赏金奖励协议,作为获得报酬的条件之一,同时指出这并不妨碍研究人员发布自己的报告。据悉,这三位研究人员都乐意遵守这项协议,但事实这并非如此。Saleem Rashid实际上放弃了他的赏金,他解释道:

我还没有得到Ledger的赏金,因为他们对漏洞的披露会影响我对这份技术报告的发布。我为了发布这份报告而放弃了赏金,主要是因为Ledger首席执行官EricLarchevêque在Reddit上发表了从技术上讲不准确的评论。由于这个原因,我开始担心这个漏洞不能正确地被客户理解。

这位男孩认为,Ledger试图淡化漏洞的严重性。出版一份完整和坦率的报告,以说明他如何攻击硬件钱包Ledger。虽然放弃了物质上的奖励,但他获得了更高的声望。Saleem Rashid很聪明,超越了年龄的深度,他就的文章虽冗长但令关注者们着迷。

经历此事件后,Ledger钱包在人们心中的地位可能会下降。密码学教师Matthew Green 在回应Rashid的博客时,探讨了完全防止这类攻击的难度。他捧上一碗“心灵鸡汤”:“上面的帖子并不意味着你应该对这些病毒感到恐惧,或许你应该假设其他钱包更好。”

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180322A0DMVN00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券