شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

Ledger تولیدکننده کیف پول سخت افزاری است که در سال گذشته بیش از یک میلیون دستگاه فروخته. این شرکت به کاربران خود در مورد یک حمله بزرگ که اخیرا کشف شده هشدار داده است.
اگر چه مواردی وجود نداشته است که این حملات در آنها موفقیت‌آمیز باشند، اما این تهدید بسیار واقعی تلقی می‌شود. امروز Ledger اصرار داشت تا کاربرانی که از کیف پول سخت افزاری این شرکت استفاده کرده‌اند، اقدامات لازم را برای جلوگیری از به دام افتادن در حمله تغییر آدرس انجام دهند.

مراقب استراق سمع در حمله مرد میانی باشید!

کیف پول‌های سخت افزاری به عنوان یکی از امن‌ترین ابزارهای ذخیره‌سازی بیت کوین و دیگر ارزهای دیجیتالی شناخته می‌شوند. دستگاه‌های ذخیره‌سازی USB در هنگام اتصال به وب حمله‌های متشابه را حذف می‌کنند. اما برای ارسال ارز و یا دریافت از یک آدرس، یک کیف پول سخت‌افزاری باید به دستگاهی که به اینترنت متصل است وصل شود.
محققان یک آسیب‌پذیری را در این کیف پول‌های سخت‌افزاری کشف کرده‌اند که بر روی دستگاه‌های Ledger تأثیر می‌گذارند. گزارشی که تازه منتشر شده نشان می‌دهد که چگونه حمله MiTM (مرد میانی) اتفاق می‌افتد. این گزارش توضیح می‌دهد که:

کیف پول Ledger آدرس دریافت شده را با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید کرده و نمایش می‌دهد. بدافزار به راحتی می‌تواند کدی را برای جایگزینی آدرس دریافتی با آدرس خود اعمال کند، و باعث می‌شود که تمام سپرده‌های آینده قربانی به مهاجم ارسال شود.

اگر حمله انجام شود، قربانی در ابتدا درباره اتفاقی که افتاده چیزی متوجه نمی شود.
برای اثبات این آسیب پذیری، نویسندگان گزارش مفهومی را ارائه داده‌اند که نشان می‌دهد حمله در عمل چگونه اتفاق می‌افتد.
شدت حمله با استفاده از نرم‌افزار کیف پول Ledger که در پوشه AppData ذخیره می‌شود، افزایش می یابد. بدافزار به راحتی قادر است تا آدرس دریافتی را تغییر دهد. همانطور که در این گزارش اشاره شده است:

تمام کاری که بدافزارها نیاز دارند تا انجام دهند، جایگزینی یک خط از کد است… این کد می‌تواند با کمتر از ۱۰ خط پایتون به دست آید

یک راه حل

همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از تسلیم شدن در برابر این حمله، تأیید و چک کردن صحت آدرس دریافتی موثر و مهم است. این موضوع را  Ledger در توییت اخیر خود نیز اذعان کرده است:

 

این راه حل، در حالی هم موثر است و هم بی فایده زیرا کاربر باید همیشه به یاد داشته باشد که هربار قبل از هر تراکنش آدرس مورد نظر را چک کند. همانطور که در گزارش آمده است:

یک راه حل مناسب برای (اجبار) کاربر تایید و چک کردن آدرس دریافتی قبل از هر تراکنش است. درست مانند کیف پول که کاربر را مجبور می‍کند تا هر معامله‌ قبل از ارسال را تایید کند

سیستمی است که Trezor در حال حاضر در کیف پول‌های سخت افزاری خود مجوز ۲FA را برای دسترسی به آدرس دریافت استفاده می کند و این امید وجود دارد که Ledger هم که در حال تکمیل و به‌روز‌رسانی دستگاه‌های خود است از این روش پیروی کند.
کیف پول‌های سخت افزاری همچنان به طور قابل ملاحظه‌ای امن‌تر از وجوه ذخیره شده در صرافی های متمرکز هستند، اما پرونده Ledger نشان می‌دهد که هیچ راه حلی صد در صد نیست.

آپدیت: درهنگام انتشار این خبر شرکت لجر تاکید کرده است که:

این مساله فقط برای این ما نبوده و تمام این این صنعت تحت تاثیر این حمله خواهند بود و این آسیب پذیری خود دستگاه نیست، اما یک واقیعت محرز این است که شما نمی توانید تنها به آنچه در صفحه نمایش می بینید اعتماد کنید.

آنها همچینین اعلام کردند که:

ما آپدیتی برای مرورگر کروم منتشر کردیم که که کاربر را مجبور به تایید آدرس های مقصد نه فقط بر روی صفحه نمایش کامپیوتر خود بلکه در کیف پول سخت افزاری لجر می کند، ما این ویژگی را برای چند ماه فعال می کنیم تا در آینده نزدیک کیف پول نرم افزاری دسکتاپ را هم آپدیت کنیم.

 

شما راجع به این موضع چه فکری می کنید؟ آیا کیف پول های سخت افزاری با چالش های بیشتری مواجه خواهند شد؟ در دنیای عدم قطعیت ها آیا می توان گفت کیف پول های سخت افزاری یکی از امن ترین راه ها برای حفظ دارایی شما هستند؟ نظرات خود را با ما در میان بگذارید.

 

 

منبع: news.bitcoin
guest

استفاده از محتوای توهین‌آمیز، غیراخلاقی، دیدگاه‌های غیراقتصادی، تبلیغات و اطلاعات تماس یا لینک‌های نامرتبط ممنوع است.

نقض قوانین ممکن است منجر به عدم تأیید دیدگاه‌ها یا مسدودسازی حساب کاربران شود.

6 دیدگاه
احسان
احسان
5 سال و 8 ماه قبل

واقعا آشغاله

محمد
محمد
6 سال و 1 ماه قبل

سلام . چطوری میشه تهیه کرد و آموزش ساخت لیف پول سخت افزاری رو هم اراده بدید و ممنون

hamed
hamed
6 سال و 1 ماه قبل
پاسخ  محمد

سلام
برای خرید در حال حاضر بعضی تامین کننده ها وجود دارن که البته در بحث اطمینان و امنیت به هیچ وجه تایید شده نیستند ولی در آینده نزدیک بخشی به معرفی تامین کنندگان قابل اطمینان اختصاص خواهیم داد
در ارتباط با ساخت کیف پول سخت افزاری هم دقیق متوجه منظورتون نشدم ولی اگر کار با این دستگاه هست موقتا از این لینک مشاهده کنید تا در آینده نزدیک آموزش سریع و مناسب به زبان فارسی در اختیار دوستان قرار داده بشود.

امیر جاویدان
امیر جاویدان
6 سال و 1 ماه قبل

در حالی که تعداد ماینرها از اواخر 2017 به طرز وحشتناکی افزایش پیدا کرده و این به معنی جذابیت کسب رمز-ارزهای بیشتر است قطعا اون عده ای که دنبال راه های آسون تر هستند و قبل از این با انتشار باج افزار درخواست بیت کوین میکردند بیکار ننشسته اند و به نظرم موج جدیدی از راهزنی دیجیتال در راه است که هدف اولش Wallet هاست و نه فقط از نوع سخت افزاریش.

علی
علی
6 سال و 1 ماه قبل

سلام
خدا قوت
تشکر بابت تمامی زحماتتون

hamed
hamed
6 سال و 1 ماه قبل
پاسخ  علی

سلام
ممنون دوست عزیز