hardware wallet Ledger: rivelata una grave vulnerabilità

hardware wallet Ledger

Uno sviluppatore di Liquality, tale Mohammed Nokhbeh, rende pubblica una grave vulnerabilità ai wallet hardware di Ledger. Wallet che si presumono inviolabili. Invece, il firmware e le App consentirebbero il furto di Bitcoin a partire da presunte transazioni di Altcoin.

Abbiamo parlato di hardware wallet in questo articolo.

Identificata una grave vulnerabilità al firmware ed App degli hardware wallet di Ledger. Leggete bene quanto segue e prendete le vostre cautele.

Ne dà notizia uno sviluppatore di Liquality, una società operante nel mondo delle valute virtuali. Si chiama Mohammed Nokhbeh, nickname monokh. Ebbene, costui svela ogni dettaglio della vicenda sul proprio sito web. Ecco il link dell’articolo.

In estrema sintesi, monokh ha identificato una grave vulnerabilità agli hardware wallet di Ledger. Che potrebbe consentire il furto di Bitcoin dai propri wallet. Mentre l’utente crede di effettuare transazioni in Altcoin derivate dal Bitcoin, che quindi presuppone di minor valore.

Il tipo di attacco che tale vulnerabilità consentirebbe si chiama “Bitcoin Fork”. In breve, quando si effettua una transazione di valute derivate dal Bitcoin su Ledger, come Dogecoin, Litecoin o Bitcoin Cash, l’App della moneta in questione dovrebbe essere l’unica attiva. Tutte le altre, compresa l’App Bitcoin, dovrebbero essere bloccate dal firmware. In modo da autorizzare transazioni per la sola moneta voluta.

Invece, non è così.

Ad esempio, un utente vuole inviare 10 Litecoin ad un certo destinatario. Il software su PC prepara il messaggio di autorizzazione a Ledger. Il quale presenta sul piccolo schermo del dispositivo tutti i dettagli della transazione attesa dall’utente: l’invio di 10 Litecoin. L’utente autorizza la transazione. Tutto corretto, apparentemente.

Sorpresa, il messaggio di autorizzazione, contraffatto, ha fatto sbloccare l’App Bitcoin. E, invece di 10 Litecoin al voluto destinatario, l’utente in realtà ha autorizzato una transazione di 10 Bitcoin ad un altro indirizzo. Riconducibile all’hacker, ovviamente.

ATTENZIONE: una pessima custodia delle chiavi private e del seed dell’hardware wallet ci espone al rischio di perdere tutte le criptovalute. Suggeriamo di utilizzare sistemi sicuri contro ogni evento disastroso, come Billfodl.

Billfodl - seed custodian

La vulnerabilità di Ledger, dice monokh, è nel firmware ed App dell’hardware wallet. Tradotto, Ledger deve risolvere il problema rilasciando una versione corretta di tali software.

In termini più tecnici, la tesi di monokh è la seguente:

Questo programma dovrebbe essere isolato. In modo da poter firmare solo percorsi di derivazione testnet. Tuttavia, inviando una normale transazione Bitcoin mainnet, questa verrà considerata valida. Inoltre, presenterà la transazione come se fosse Bitcoin testnet a un indirizzo Bitcoin testnet.

Lasciando i tecnicismi, ribadiamo il punto.

Potremmo autorizzare una transazione in Bitcoin ad un hacker. Mentre crediamo di mandare una moneta derivata dal Bitcoin, di minor valore, ad un legittimo destinatario. Il tutto, fidandoci di cosa compare sul display dell’hardware wallet.

Monokh ha già avvisato Ledger sull’esistenza della vulnerabilità in parola. Nonostante ciò, la società franco – statunitense non ha ancora rilasciato le versioni definitive e corrette di firmware ed App. Soltanto, con l’ultimo aggiornamento delle App, viene mostrato un messaggio di avviso in caso sia rilevato un exploit di questo tipo.

FONTE: https://monokh.com/

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *