atlasarzdigital

شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

Ledger تولیدکننده کیف پول سخت افزاری است که در سال گذشته بیش از یک میلیون دستگاه فروخته. این شرکت به کاربران خود در مورد یک حمله بزرگ که اخیرا کشف شده هشدار داده است.
اگر چه مواردی وجود نداشته است که این حملات در آنها موفقیت‌آمیز باشند، اما این تهدید بسیار واقعی تلقی می‌شود. امروز Ledger اصرار داشت تا کاربرانی که از کیف پول سخت افزاری این شرکت استفاده کرده‌اند، اقدامات لازم را برای جلوگیری از به دام افتادن در حمله تغییر آدرس انجام دهند.

مراقب استراق سمع در حمله مرد میانی باشید!

کیف پول‌های سخت افزاری به عنوان یکی از امن‌ترین ابزارهای ذخیره‌سازی بیت کوین و دیگر ارزهای دیجیتالی شناخته می‌شوند. دستگاه‌های ذخیره‌سازی USB در هنگام اتصال به وب حمله‌های متشابه را حذف می‌کنند. اما برای ارسال ارز و یا دریافت از یک آدرس، یک کیف پول سخت‌افزاری باید به دستگاهی که به اینترنت متصل است وصل شود.
محققان یک آسیب‌پذیری را در این کیف پول‌های سخت‌افزاری کشف کرده‌اند که بر روی دستگاه‌های Ledger تأثیر می‌گذارند. گزارشی که تازه منتشر شده نشان می‌دهد که چگونه حمله MiTM (مرد میانی) اتفاق می‌افتد. این گزارش توضیح می‌دهد که:

کیف پول Ledger آدرس دریافت شده را با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید کرده و نمایش می‌دهد. بدافزار به راحتی می‌تواند کدی را برای جایگزینی آدرس دریافتی با آدرس خود اعمال کند، و باعث می‌شود که تمام سپرده‌های آینده قربانی به مهاجم ارسال شود.

اگر حمله انجام شود، قربانی در ابتدا درباره اتفاقی که افتاده چیزی متوجه نمی شود.
برای اثبات این آسیب پذیری، نویسندگان گزارش مفهومی را ارائه داده‌اند که نشان می‌دهد حمله در عمل چگونه اتفاق می‌افتد.
شدت حمله با استفاده از نرم‌افزار کیف پول Ledger که در پوشه AppData ذخیره می‌شود، افزایش می یابد. بدافزار به راحتی قادر است تا آدرس دریافتی را تغییر دهد. همانطور که در این گزارش اشاره شده است:

تمام کاری که بدافزارها نیاز دارند تا انجام دهند، جایگزینی یک خط از کد است… این کد می‌تواند با کمتر از 10 خط پایتون به دست آید

یک راه حل

همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از تسلیم شدن در برابر این حمله، تأیید و چک کردن صحت آدرس دریافتی موثر و مهم است. این موضوع را  Ledger در توییت اخیر خود نیز اذعان کرده است:

 

این راه حل، در حالی هم موثر است و هم بی فایده زیرا کاربر باید همیشه به یاد داشته باشد که هربار قبل از هر تراکنش آدرس مورد نظر را چک کند. همانطور که در گزارش آمده است:

یک راه حل مناسب برای (اجبار) کاربر تایید و چک کردن آدرس دریافتی قبل از هر تراکنش است. درست مانند کیف پول که کاربر را مجبور می‍کند تا هر معامله‌ قبل از ارسال را تایید کند

سیستمی است که Trezor در حال حاضر در کیف پول‌های سخت افزاری خود مجوز 2FA را برای دسترسی به آدرس دریافت استفاده می کند و این امید وجود دارد که Ledger هم که در حال تکمیل و به‌روز‌رسانی دستگاه‌های خود است از این روش پیروی کند.
کیف پول‌های سخت افزاری همچنان به طور قابل ملاحظه‌ای امن‌تر از وجوه ذخیره شده در صرافی های متمرکز هستند، اما پرونده Ledger نشان می‌دهد که هیچ راه حلی صد در صد نیست.

آپدیت: درهنگام انتشار این خبر شرکت لجر تاکید کرده است که:

این مساله فقط برای این ما نبوده و تمام این این صنعت تحت تاثیر این حمله خواهند بود و این آسیب پذیری خود دستگاه نیست، اما یک واقیعت محرز این است که شما نمی توانید تنها به آنچه در صفحه نمایش می بینید اعتماد کنید.

آنها همچینین اعلام کردند که:

ما آپدیتی برای مرورگر کروم منتشر کردیم که که کاربر را مجبور به تایید آدرس های مقصد نه فقط بر روی صفحه نمایش کامپیوتر خود بلکه در کیف پول سخت افزاری لجر می کند، ما این ویژگی را برای چند ماه فعال می کنیم تا در آینده نزدیک کیف پول نرم افزاری دسکتاپ را هم آپدیت کنیم.

 

شما راجع به این موضع چه فکری می کنید؟ آیا کیف پول های سخت افزاری با چالش های بیشتری مواجه خواهند شد؟ در دنیای عدم قطعیت ها آیا می توان گفت کیف پول های سخت افزاری یکی از امن ترین راه ها برای حفظ دارایی شما هستند؟ نظرات خود را با ما در میان بگذارید.

 

 

منبع: news.bitcoin

6
دیدگاه کاربران

avatar
ارسال عکس و تصویر
 
 
 
ارسال صوت و ویدئو
 
 
 
4 رشته دیدگاه‌ها
2 پاسخ‌های
14 دنبال‌کنندگان
 
دیدگاه با بیشترین واکنش‌
داغ‌ترین رشته دیدگاه
5 نویسندگان دیدگاه‌ها
احسانحامد صالحیمحمدامیر جاویدانعلی نویسندگان اخیر دیدگاه‌ها

احسان
احسان

واقعا آشغاله

محمد
محمد

سلام . چطوری میشه تهیه کرد و آموزش ساخت لیف پول سخت افزاری رو هم اراده بدید و ممنون

امیر جاویدان
امیر جاویدان

در حالی که تعداد ماینرها از اواخر 2017 به طرز وحشتناکی افزایش پیدا کرده و این به معنی جذابیت کسب رمز-ارزهای بیشتر است قطعا اون عده ای که دنبال راه های آسون تر هستند و قبل از این با انتشار باج افزار درخواست بیت کوین میکردند بیکار ننشسته اند و به نظرم موج جدیدی از راهزنی دیجیتال در راه است که هدف اولش Wallet هاست و نه فقط از نوع سخت افزاریش.

علی
علی

سلام
خدا قوت
تشکر بابت تمامی زحماتتون

بازخورد
feedback
بازخورد شما درباره ارزدیجیتال

این بازخورد برای صفحه شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد ارسال خواهد شد.

گزارش خطا
  • گزارش خطا
  • انتقادات و پیشنهادات
  • نیاز به راهنمایی

ارزهای دیجیتاللیست کامل
اخبار و مقالاتاخبار و مقالات بیشتر
صرافی ارزهای دیجیتالصرافی های بیشتر
دستگاه ماینر ارزهای دیجیتالدستگاه های بیشتر
موردی یافت نشد.