サリーム・ラシッド プログラマー歴15年の彼が発見した脆弱性財布元帳ナノS内には、彼のTwitterアカウントに言ったので、これは孤立した事件ではない、また、ファームウェアオープンソースTrezorに貢献したとして働いている請負業者NEMのために、TrezorでNEMを実装するためのサポートを提供します。
元帳ナノはトランザクションがあなたの財布のハードウェアの内部で分離され、PINコードによってブロックされている秘密鍵が暴露されているように、そのクリエイターは決して秘密に係る冷財布です。トランザクションは操作できません。ボタンを押すだけで画面上で物理的に確認されます。
オンラインセキュリティが懸念されるためとして、冷たい財布は安全な投資を維持するホルダーcriptomonedasに利用できる最良の選択肢の一つであり、誰かが物理的にこの財布を操作できるというチャンスがあるときにわからないようです。
Sallem Rashidは、ウォレットを修正するピンコードを取得し、内部に格納されているcryptocurrenciesに完全にアクセスする方法を発見しました。
この若いプログラマが自分のブログから説明しているように、このセキュリティーの欠陥により、エンドユーザーがキーを物理的または遠隔から盗む前に、攻撃者がその脆弱性を利用して攻撃を受けます。
彼がこのセキュリティ上の欠陥を発見する方法は、「サプライチェーンに対する攻撃」と呼ば れ、ブログで段階的に説明されています。そこでは、彼が発見を教えるところのビデオも見ることができます
サレムのコメント:
責任ある開示契約により、この技術報告を公表することができなくなったため、元帳は私に報酬を払っていないことを明確にし たい」
「LedgerのCEOであるEricLarchevêque氏が、技術的に不正確なRedditに関するコメントを主にしたため、私は元帳の報酬を受け取る代わりに、このレポートを発行することにしました。その結果、私はこの脆弱性が顧客に適切に説明されないことを心配し始めました。
このセキュリティ侵害の公表前に、SallemはLedgerのCEOに連絡を取り、発見されたエラーが重大であり、その脆弱性が信じられないものであることを否定しました。
この反応の後、彼は変更されたMCUファームウェアを使ってサプライチェーンへの攻撃のデモンストレーションを行い、分析のためのコードソースコードを送った。
LedgerがLedger nano SとLedger Blueのファームウェアをアップデートしてこの脆弱性を修正するまでは、Sallemのセキュリティ警告から4ヶ月経過しています。
Sallem Rashidがセキュリティ違反を発見したTREZOR Oneのコールドウォレットにも同様のことが起こりましたが、今回は若いプログラマーとTREZORチームとのやりとりで問題が解決されました。加えて、Marek Polatinus(SatoshiLabsのCEO)は、Saleem Rashid氏が仕事と創造性に感謝し、より良い、より安全な製品を作ることに貢献したと称賛しました。
参考資料:https://www.crypto-economy.net/programador-de-15-anos-encuentra-vulnerabilidad-en-ledger-nano-s/
●無料でLINE@で有益情報を随時流しています。
https://line.me/R/ti/p/%40gtu0961z
興味ある方は登録してください。
■yobit net
https://yobit.net/en/
●XRPブログ作者に募金
アドレス:
rE86FEdaEXsKJ6GVvNJHwKdAq757nuJdom
●アマゾン商品がビットコインを使って15%off!
●NEMが1時間に1回最大100XEM貰える!
興味ある方は登録してください。
■yobit net
https://yobit.net/en/
Source: 仮想通貨情報局