3月20日,硬件钱包制造商Ledger发布了一份固件更新,以修补几个安全漏洞。这些漏洞是由三名白帽黑客发现的,其中一名叫Saleem Rashid,是一名15岁的英国男孩。他发现的攻击载体是基于硬件的,并不局限于Ledger设备,这使得单靠软件很难完全缓解这个问题。
谁发现的漏洞?
3月20日,Ledger发布了固件更新1.4.1,并附有一篇博客文章,承诺“深入探讨安全问题”:
在负责任的公开漏洞信息之后,我们对固件1.4补丁的攻击媒介进行了全面详细的评估,这最初由三位安全研究人员报告的。由于这些技术细节的发布可能会降低未修补设备的安全级别,并会带来潜在的威胁,因此我们强烈建议用户固件进行更新。
Saleem Rashid发现这个漏洞吸引了众人的目光!因为他不仅年龄很小,而且他还发表了一篇关于他如何实现这一壮举的详解文章:
攻击者在用户接收设备之前可以利用这个漏洞破坏该设备,或者在设备上窃取私钥,在某些情况下,还可以远程窃取私钥。我已经在一个真正的硬件钱包Ledger Nano S上演示了这种攻击。此外,我在几个月前将源代码发送给Ledger,这样他们就可以打开这个设备,这样就可以很轻松地打开设备并进行篡改……
白帽黑客放弃了他的赏金
硬件钱包制造商Ledger说安全研究人员已被要求签署赏金奖励协议,作为获得报酬的条件之一,同时指出这并不妨碍研究人员发布自己的报告。据悉,这三位研究人员都乐意遵守这项协议,但事实这并非如此。Saleem Rashid实际上放弃了他的赏金,他解释道:
我还没有得到Ledger的赏金,因为他们对漏洞的披露会影响我对这份技术报告的发布。我为了发布这份报告而放弃了赏金,主要是因为Ledger首席执行官EricLarchevêque在Reddit上发表了从技术上讲不准确的评论。由于这个原因,我开始担心这个漏洞不能正确地被客户理解。
这位男孩认为,Ledger试图淡化漏洞的严重性。出版一份完整和坦率的报告,以说明他如何攻击硬件钱包Ledger。虽然放弃了物质上的奖励,但他获得了更高的声望。Saleem Rashid很聪明,超越了年龄的深度,他就的文章虽冗长但令关注者们着迷。
经历此事件后,Ledger钱包在人们心中的地位可能会下降。密码学教师Matthew Green 在回应Rashid的博客时,探讨了完全防止这类攻击的难度。他捧上一碗“心灵鸡汤”:“上面的帖子并不意味着你应该对这些病毒感到恐惧,或许你应该假设其他钱包更好。”
领取专属 10元无门槛券
私享最新 技术干货