Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
vegakotes
7 лет назад

В аппаратных кошельках Ledger обнаружена уязвимость

Криптовалютные кошельки то и дело подвергаются атакам со стороны кибер-преступников, однако с аппаратными кошельками такое практически не происходит. Компания Ledger, продавшая в 2017-м году более 1 миллиона устройств, заявила об их уязвимости.

Заявлений об атаках со стороны хакеров пока, к счастью, не поступало, однако компания считает угрозу достойной упоминания и всеми силами старается обезопасить тех, кто доверяет им даже от гипотетического взлома. 3 числа Ledger посоветовала владельцам их кошельков воспользоваться несколькими советами, дабы исключить даже малейший шанс примкнуть к числу пострадавших от взлома с подменой адреса.

Аппаратные кошельки по праву считаются самым безопасным решением для хранения популярных криптовалют. USB-девайс холодного хранения исключает большинство путей для атаки со стороны злоумышленников, особенно тех, что связаны с подключением к Интернету. Однако, чтобы передать средства или адрес получателя, девайс должен быть подсоединен к ПК. Здесь-то специалисты Ledger и заметили уязвимость, которая подвергает опасности кошельки Ledger. В отчете, опубликованном на днях описан возможный сценарий MiTM-атаки.

Кошельки компании генерируют адрес получателя и отображают его на ПК, используя код JavaScript. Злоумышленники вполне могут осуществить подмену кода, создающего адрес получателя, после чего все депозиты пользователя будут отправлены на кошелек мошенников.

В случае подобной атаки жертва может даже не заметить ее. Ситуация становится критичной из-за того, что ПО с легкостью подменит адрес получателя, задействовав файлы аппаратного кошелька, находящиеся в папке AppData. Согласно отчету, вредоносному ПО достаточно будет заменить лишь одну строку кода, а для тех, кто будет использовать Python необходимо заменить меньше 10 строк.

В своем твиттере компания сообщила, что нужно проверять правильность адреса получателя средств, нажимая на кнопку с изображением монитора на экране компьютера или любого другого девайса, с которого производится транзакция.

Скорее всего специалисты компании примут решение в пользу обязательной проверки адреса получателя при каждой транзакции, как это делают некоторые производители аппаратных кошельков – например, Trezor, предлагающие клиентам двухфакторную аутентификацию.

0
0.000 GOLOS
На Golos с January 2018
Комментарии (2)
Сортировать по:
Сначала старые