ارز دیجیتال > کاربرد تجاری > امنیت > شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد
اخبار امنیت کیف پول سخت افزاری

شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

شرکت لجر(Ledger) در ارتباط با یک خطر امنیتی به کاربرانش هشدار داد
شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار دادReviewed by حامد صالحی on Feb 10Rating: 5.0

Ledger تولیدکننده کیف پول سخت افزاری است که در سال گذشته بیش از یک میلیون دستگاه فروخته. این شرکت به کاربران خود در مورد یک حمله بزرگ که اخیرا کشف شده هشدار داده است.
اگر چه مواردی وجود نداشته است که این حملات در آنها موفقیت‌آمیز باشند، اما این تهدید بسیار واقعی تلقی می‌شود. امروز Ledger اصرار داشت تا کاربرانی که از کیف پول سخت افزاری این شرکت استفاده کرده‌اند، اقدامات لازم را برای جلوگیری از به دام افتادن در حمله تغییر آدرس انجام دهند.

مراقب استراق سمع در حمله مرد میانی باشید!

کیف پول‌های سخت افزاری به عنوان یکی از امن‌ترین ابزارهای ذخیره‌سازی بیت کوین و دیگر ارزهای دیجیتالی شناخته می‌شوند. دستگاه‌های ذخیره‌سازی USB در هنگام اتصال به وب حمله‌های متشابه را حذف می‌کنند. اما برای ارسال ارز و یا دریافت از یک آدرس، یک کیف پول سخت‌افزاری باید به دستگاهی که به اینترنت متصل است وصل شود.
محققان یک آسیب‌پذیری را در این کیف پول‌های سخت‌افزاری کشف کرده‌اند که بر روی دستگاه‌های Ledger تأثیر می‌گذارند. گزارشی که تازه منتشر شده نشان می‌دهد که چگونه حمله MiTM (مرد میانی) اتفاق می‌افتد. این گزارش توضیح می‌دهد که:

کیف پول Ledger آدرس دریافت شده را با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید کرده و نمایش می‌دهد. بدافزار به راحتی می‌تواند کدی را برای جایگزینی آدرس دریافتی با آدرس خود اعمال کند، و باعث می‌شود که تمام سپرده‌های آینده قربانی به مهاجم ارسال شود.

اگر حمله انجام شود، قربانی در ابتدا درباره اتفاقی که افتاده چیزی متوجه نمی شود.
برای اثبات این آسیب پذیری، نویسندگان گزارش مفهومی را ارائه داده‌اند که نشان می‌دهد حمله در عمل چگونه اتفاق می‌افتد.
شدت حمله با استفاده از نرم‌افزار کیف پول Ledger که در پوشه AppData ذخیره می‌شود، افزایش می یابد. بدافزار به راحتی قادر است تا آدرس دریافتی را تغییر دهد. همانطور که در این گزارش اشاره شده است:

تمام کاری که بدافزارها نیاز دارند تا انجام دهند، جایگزینی یک خط از کد است… این کد می‌تواند با کمتر از ۱۰ خط پایتون به دست آید

یک راه حل

همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از تسلیم شدن در برابر این حمله، تأیید و چک کردن صحت آدرس دریافتی موثر و مهم است. این موضوع را  Ledger در توییت اخیر خود نیز اذعان کرده است:

 

این راه حل، در حالی هم موثر است و هم بی فایده زیرا کاربر باید همیشه به یاد داشته باشد که هربار قبل از هر تراکنش آدرس مورد نظر را چک کند. همانطور که در گزارش آمده است:

یک راه حل مناسب برای (اجبار) کاربر تایید و چک کردن آدرس دریافتی قبل از هر تراکنش است. درست مانند کیف پول که کاربر را مجبور می‍کند تا هر معامله‌ قبل از ارسال را تایید کند

سیستمی است که Trezor در حال حاضر در کیف پول‌های سخت افزاری خود مجوز ۲FA را برای دسترسی به آدرس دریافت استفاده می کند و این امید وجود دارد که Ledger هم که در حال تکمیل و به‌روز‌رسانی دستگاه‌های خود است از این روش پیروی کند.
کیف پول‌های سخت افزاری همچنان به طور قابل ملاحظه‌ای امن‌تر از وجوه ذخیره شده در صرافی های متمرکز هستند، اما پرونده Ledger نشان می‌دهد که هیچ راه حلی صد در صد نیست.

آپدیت: درهنگام انتشار این خبر شرکت لجر تاکید کرده است که:

این مساله فقط برای این ما نبوده و تمام این این صنعت تحت تاثیر این حمله خواهند بود و این آسیب پذیری خود دستگاه نیست، اما یک واقیعت محرز این است که شما نمی توانید تنها به آنچه در صفحه نمایش می بینید اعتماد کنید.

آنها همچینین اعلام کردند که:

ما آپدیتی برای مرورگر کروم منتشر کردیم که که کاربر را مجبور به تایید آدرس های مقصد نه فقط بر روی صفحه نمایش کامپیوتر خود بلکه در کیف پول سخت افزاری لجر می کند، ما این ویژگی را برای چند ماه فعال می کنیم تا در آینده نزدیک کیف پول نرم افزاری دسکتاپ را هم آپدیت کنیم.

 

شما راجع به این موضع چه فکری می کنید؟ آیا کیف پول های سخت افزاری با چالش های بیشتری مواجه خواهند شد؟ در دنیای عدم قطعیت ها آیا می توان گفت کیف پول های سخت افزاری یکی از امن ترین راه ها برای حفظ دارایی شما هستند؟ نظرات خود را با ما در میان بگذارید.

 

 

منبع: news.bitcoin
print

شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

درباره نویسنده

حامد صالحی

حامد صالحی

کنجکاو، دانش جو و علاقمند به فن آوری و ایده های آزادی خواهانه
V.For.V

6
دیدگاه کابران

avatar
4 Comment threads
2 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
5 Comment authors
احسانحامد صالحیمحمدامیر جاویدانعلی Recent comment authors
  اشتراک  
جدید ترین قدیمی ترین بیشترین امتیاز
اطلاع از
علی
علی

سلام
خدا قوت
تشکر بابت تمامی زحماتتون

امیر جاویدان
امیر جاویدان

در حالی که تعداد ماینرها از اواخر ۲۰۱۷ به طرز وحشتناکی افزایش پیدا کرده و این به معنی جذابیت کسب رمز-ارزهای بیشتر است قطعا اون عده ای که دنبال راه های آسون تر هستند و قبل از این با انتشار باج افزار درخواست بیت کوین میکردند بیکار ننشسته اند و به نظرم موج جدیدی از راهزنی دیجیتال در راه است که هدف اولش Wallet هاست و نه فقط از نوع سخت افزاریش.

احسان
احسان

واقعا آشغاله

محمد
محمد

سلام . چطوری میشه تهیه کرد و آموزش ساخت لیف پول سخت افزاری رو هم اراده بدید و ممنون