Jump to content
Sign in to follow this  
April

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

Recommended Posts

убитый кошелек

 

Производитель аппаратных кошельков Ledger выпустил обновление программного обеспечения, восстанавливающее  ряд пробелов в системе безопасности. Уязвимости были обнаружены тремя независимыми программистами, один из которых, Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии. Обнаруженный им вектор атаки является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.

 

20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление «тщательного анализа проблем безопасности»:  

«Следуя принципам прозрачности и ответственности при раскрытии информации, мы  предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО».



Наибольшее внимание привлек к себе обнаруженный Салимом Рашидом вредоносный код, как по причине юного возраста исследователя, так и из-за его публикации, содержащей подробное объяснение того, каким образом ему удалось найти проблему. 

 

«Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код  в компанию Ledger, чтобы они могли его воспроизвести».

 

 

Читать полностью

 

Share this post


Link to post
Share on other sites

Респект таким парням как этот Рашид.

 

В столь юном возрасте получил достаточный скилл чтобы выявить проблему.

Выявил её.

За несколько месяцев предупредил фирму, чтобы те успели отработать.

Отказался от вознаграждения с целью привлечения большего внимания к проблеме (его отчёту).

 

Share this post


Link to post
Share on other sites
22 часа назад, April сказал:

Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии

Вот оно! Будущее Великой Британии.

А не всякие Мэи и Джонсоны.

:biggrin:

Share this post


Link to post
Share on other sites
27 минут назад, Bolearis сказал:

Вот оно! Будущее Великой Британии.

А не всякие Мэи и Джонсоны.

Н-да. Сравнение теплого с мягким...

Share this post


Link to post
Share on other sites
2 минуты назад, khadga сказал:

Н-да. Сравнение теплого с мягким...

какая разница, и то и другое относится к **вну)))))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • Московский инвестор вложил $550 000 в разработку ПО для биткоин-биржи и обнаружил его в сети

      Еще раз о безопасности в сети    "Глава одной из московских компаний вложился в разработку ПО криптовалютной биржи. Однако впоследствии ПО разместили в интернете, при этом права на продукт уже принадлежали иностранной фирме.  Согласно словам заявителя, он согласился профинансировать разработку ПО для криптовалютной биржи в марте 2018 года. В течение нескольких месяцев он передал главе компании-разработчика в совокупности $550 000. В итоге разработанное ПО разместили в сети. П

      in Флейм

    • Осталось 2 попытки: программист вспоминает пароль к кошельку с 7 002 BTC

      Программист Стефан Томас забыл пароль от защищенного накопителя, хранящего закрытые ключи кошелька с 7 002 BTC ($240 млн). У него осталось всего две попытки на подбор пароля. Стефан Томас (Stefan Thomas) несколько лет назад потерял листок, на котором был записан пароль от защищенного накопителя IronKey, хранящего закрытый ключ от кошелька. При этом Томас уже восемь раз вводил неправильный пароль. Если он еще дважды ошибется, то навсегда потеряет закрытый ключ — накопители IronKey безвозвр

      in Новости криптовалют

    • рабочий бот для биржи бинанса нужен программист

      Нужна помощь в некоторых корректировках и поправках мой телеграмм mxs19covid

      in Разработка

    • Разработчик Lightning Labs обнаружил вектор атаки на каналы Wumbo

      Разработчик Lightning Labs Джуст Джагер (Joost Jager) описал уязвимость сети микроплатежей, которая может привести к компрометации каналов Lightning Network при небольших затратах. Джуст Джагер (Joost Jager) заявил, что в Lightning Network может быть проведена атака на платежные каналы Wumbo, которые позволяют совершать более крупные транзакции в сети и увеличивать объемы транзакций. До добавления каналов Wumbo этим летом пользователи могли создавать каналы с емкостью не более 0.1677 BTC

      in Новости криптовалют

    • Разработчик обнаружил уязвимость в тестовой сети Ethereum 2.0

      Сооснователь Jelurida Лиор Яффе утверждает, что обнаружил потенциальную уязвимость в тестовой сети Ethereum 2.0 – низкий уровень участия в стейкинге может позволить «китам» вывести сеть из строя. Сооснователь Jelurida и ведущий разработчик блокчейнов Ardor и Nxt Лиор Яффе (Lior Yaffe) обнаружил уязвимость в Ethereum 2.0. Напомним, что в настоящее время блокчейн работает в Medalla и других тестовых сетях для проверки на наличие проблем.   Яффе рассмотрел ситуацию, когда уровень уча

      in Новости криптовалют

×
×
  • Create New...