Hardwarové peněženky jsou obecně považovány za nejbezpečnější formu úschovy kryptoměn, avšak 15letý mladík z Velké Británie odhalil bezpečnostní chybu v jedné z nejpopulárnějších hardwarových peněženek Ledger Nano S.

Podněstří expanduje v těžbě kryptoměn

15letý  Saleem Rashid na svém blogu popsal kód, který mu umožnil přístup přes „zadní dvířka“ do hardwarové peněženky  Ledger Nano S,  které bylo doposud prodáno více než milion kusů po celém světě.

„Tato chyba umožňuje útočníkovi vykrást peněženku,“ řekl Saleem.

Společnost, která stojí za vývojem peněženky uvedla, že vydala aktualizaci, která bezpečnostní chybu opravuje. Předpokládá se, že chybou trpí i další model, Ledger Nano Blue.  Šéf bezpečnostní společnosti Charles Guillemet pro časopis Quartz uvedl, že aktualizace pro Nano Blue nebude k dispozici ještě několik týdnů.

Bezpečnostní chyba

Kryptoměny jako Bitcoin používají šifrovací metody s veřejným klíčem na ochranu finančních prostředků. Uživatelé mohou uloženými prostředky disponovat pouze pokud mají přístup k soukromému klíči. Hardwarové peněženky ukládají tyto soukromé klíče a mohou být připojeny k počítači prostřednictvím USB portu.

Zmiňovaná bezpečnostní chyba se zaměřuje na mikroprocesory zařízení. Ledger využívá dva mikroprocesory, z nichž jeden ukládá soukromý klíč, zatímco druhý funguje jako jeho proxy na podporu funkcí displeje a rozhraní USB. Mikroprocesor, který ukládá soukromý klíč je dobře zabezpečen. Druhý mikroprocesor, který komunikuje s displejem, již tak dobře zabezpečený není. Oba mikroprocesory si však mezi sebou neustále předávají informace. Rashid zjistil, že hacker dokáže narušit software v méně zabezpečeném mikroprocesoru a spustit na něm škodlivý kód, aniž by byl detekován. Tento kód pak hackerovi posílá informace o peněžence včetně soukromého klíče.

Aby tato bezpečnostní chyba mohla být zneužita, zařízení se musí dostat do rukou hackera před tím, než ho získá samotný uživatel. Komprimované zařízení pak odesílá data hackerovi, který díky ním dokáže převzít kontrolu nad financemi v peněžence. Z tohoto důvodu jsou ohroženy hlavně zařízení, které se ke koncovým uživatelům dostali skrz třetí stranu, tedy zařízení zakoupené přes neoficiální, neautorizované prodejny a online obchody, zařízení z bazarů, popřípadě od soukromého nebo maloobchodníka. Protože zařízení objednané z oficiální stránky nebo distributora jsou dodávány přímo zákazníkům, neměly by být ohroženy.

Neadekvátní reakce

Rashid ve svém blogu uvedl, že před několika měsíci informoval o chybě přímo Ledger. Rashid trvdí, že mu za jeho úsilí  nebyla vyplacena odměna, která se běžně vyplácí šikovným osobám, které upozorní na chyby v bezpečnosti. Rashid se rozhodl chybu zveřejnit poté, co generální ředitel společnosti Ledger Eric Larchevêque na sociální síti Reddit uveřejnil připomínky, které podle teenagera „byly plné technických nepřesností“.

„V konečném důsledku jsem začal mít obavy, že tato chyba v systému nebude správně interpretována zákazníkům,“ napsal Saleem.

Ve svých komentářích na sociální síti Reddit  generální ředitel společnosti Ledger Larchevêque napsal, že otázka bezpečnosti byla „značně přehnaná“.

Panika se rozšířila mezi uživatele, kteří diskutovali na Reddit. Eric Larchevêque ve svém příspěvku teenagera také obvinil, že vytváří  „masivní FUD“  a že Rashid se pokoušel upozornit na sebe, neboť podle něj problém nebyl až tak vážný.

FUD – zkratka z anglické fráze fear, uncertainty and doubt – strach, nejistota a pochybnost. Většinou se jedná o falešné zprávy, které mají za účel odradit investory od určité kryptoměny / investice / služby.

Rashid ve svém tweetu napsal, že vývojáři Ledger-u nebrali chybu až tak vážně.

„Saleem zjevně rozrušilo, že tuto chybu nepovažujeme za tak závažnou,“ napsal ředitel společnosti Ledger Larchevêque.

Dne 20. března vydala Ledger další aktualizaci, která opravila tři problémy, které objevily programátoři Timothée Isnard, Saleem Rashid a Sergei Volokitin. Zajímavé je, že Rashid odmítl toto prohlášení, protože podpis smlouvy o odměně od Ledger by mu zakázalo zveřejnění technické zprávy. Pokud jde o nové aktualizace, Rashid vysvětlil, že nové opravy nejsou zcela odolné vůči hackerským útokům.

Talentovaný mladík

Teenager, který žije ve Spojeném království, předtím odhalil problém v hardwarové peněžence TREZOR One. Problém byl vyřešen zdravou komunikací mezi oběma stranami. Generální ředitel společnosti SatoshiLabs Marek Palatinus dokonce chválil Rashida za svou práci.

„Jeho mimořádně myšlení a tvůrčí přístup nám pomáhají vytvořit ještě bezpečnější produkt,“ řekl Marek Palatinus.

Závěr

Ledger ve své aktualizaci bezpečnostní chybu pro model Nano S už opravil. Přesto ale doporučujeme kupovat hardwarové peněženky jen od oficiálních a autorizovaných prodejců.

Co se stane s mými Bitcoiny, když zemřu?

Zdroj: bbc.com