Jump to content
Sign in to follow this  
April

15-летний программист обнаружил уязвимость в аппаратном кошельке Ledger

Recommended Posts

убитый кошелек

 

Производитель аппаратных кошельков Ledger выпустил обновление программного обеспечения, восстанавливающее  ряд пробелов в системе безопасности. Уязвимости были обнаружены тремя независимыми программистами, один из которых, Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии. Обнаруженный им вектор атаки является аппаратным и не ограничивается устройствами Ledger, что затрудняет борьбу с ним только при помощи программных методов.

 

20 марта компания Ledger запустила обновленную версию ПО 1.4.1, сопроводив релиз статьей в блоге, гарантирующей предоставление «тщательного анализа проблем безопасности»:  

«Следуя принципам прозрачности и ответственности при раскрытии информации, мы  предоставляем полный подробный анализ устраненных векторов атак, которые выполняет прошивка 1.4, и о которых впервые сообщили три исследователя компьютерной безопасности. Поскольку публикация технических деталей может повысить уровень угрозы для не восстановленных устройств, мы настоятельно рекомендуем пользователям обновить ПО».



Наибольшее внимание привлек к себе обнаруженный Салимом Рашидом вредоносный код, как по причине юного возраста исследователя, так и из-за его публикации, содержащей подробное объяснение того, каким образом ему удалось найти проблему. 

 

«Атакующий может использовать эту уязвимость для взлома устройства до того, как пользователь его получит, либо украсть с устройства закрытые ключи физически или, в некоторым случаях, удаленно, - объясняет Рашид, - я продемонстрировал эту атаку на реальном устройстве Ledger Nano S. Кроме того, несколько месяцев назад я отправил исходный код  в компанию Ledger, чтобы они могли его воспроизвести».

 

 

Читать полностью

 

Share this post


Link to post
Share on other sites

Респект таким парням как этот Рашид.

 

В столь юном возрасте получил достаточный скилл чтобы выявить проблему.

Выявил её.

За несколько месяцев предупредил фирму, чтобы те успели отработать.

Отказался от вознаграждения с целью привлечения большего внимания к проблеме (его отчёту).

 

Share this post


Link to post
Share on other sites
22 часа назад, April сказал:

Салим Рашид (Saleem Rashid)  - пятнадцатилетний юноша из Британии

Вот оно! Будущее Великой Британии.

А не всякие Мэи и Джонсоны.

:biggrin:

Share this post


Link to post
Share on other sites
27 минут назад, Bolearis сказал:

Вот оно! Будущее Великой Британии.

А не всякие Мэи и Джонсоны.

Н-да. Сравнение теплого с мягким...

Share this post


Link to post
Share on other sites
2 минуты назад, khadga сказал:

Н-да. Сравнение теплого с мягким...

какая разница, и то и другое относится к **вну)))))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Topics

    • рабочий бот для биржи бинанса нужен программист

      Нужна помощь в некоторых корректировках и поправках мой телеграмм mxs19covid

      in Разработка

    • Разработчик Lightning Labs обнаружил вектор атаки на каналы Wumbo

      Разработчик Lightning Labs Джуст Джагер (Joost Jager) описал уязвимость сети микроплатежей, которая может привести к компрометации каналов Lightning Network при небольших затратах. Джуст Джагер (Joost Jager) заявил, что в Lightning Network может быть проведена атака на платежные каналы Wumbo, которые позволяют совершать более крупные транзакции в сети и увеличивать объемы транзакций. До добавления каналов Wumbo этим летом пользователи могли создавать каналы с емкостью не более 0.1677 BTC

      in Новости криптовалют

    • Разработчик обнаружил уязвимость в тестовой сети Ethereum 2.0

      Сооснователь Jelurida Лиор Яффе утверждает, что обнаружил потенциальную уязвимость в тестовой сети Ethereum 2.0 – низкий уровень участия в стейкинге может позволить «китам» вывести сеть из строя. Сооснователь Jelurida и ведущий разработчик блокчейнов Ardor и Nxt Лиор Яффе (Lior Yaffe) обнаружил уязвимость в Ethereum 2.0. Напомним, что в настоящее время блокчейн работает в Medalla и других тестовых сетях для проверки на наличие проблем.   Яффе рассмотрел ситуацию, когда уровень уча

      in Новости криптовалют

    • «Белый хакер» обнаружил уязвимость в приложении Blockfolio

      В приложении Blockfolio обнаружена уязвимость, которая позволяет получить доступ к закрытому исходному коду и внедрить собственный код в репозиторий Blockfolio на GitHub. Специалист по кибербезопасности из компании Intezer Пол Литвак (Paul Litvak) обнаружил уязвимость в конце апреля, когда решил проверить безопасность используемых им криптовалютных инструментов.   «Спустя некоторое время после изучения новой версии приложения, я обратил внимание на старые версии. Вскоре я обнаружи

      in Новости криптовалют

    • Ledger обнаружил уязвимости в устройствах Trezor

      Производитель аппаратных кошельков Ledger опубликовал обнаруженные уязвимости в устройствах Trezor, своего основного конкурента.   Уязвимости были обнаружены в Attack Lab - отделе компании, который занимается взломом как собственных устройств, так и устройств конкурентов для повышения безопасности. Ledger утверждает, что неоднократно сообщал Trezor о слабых местах в их кошельках Trezor One и Trezor T. Теперь компания решила обнародовать их после окончания периода соглашения о нерасп

      in Новости криптовалют

×
×
  • Create New...