Säkerhetsbuggar åtgärdade i Ledger
Ett antal säkerhetsbuggar har blivit åtgärdade i produkter från Ledger som används för kryptovaluta (offline wallet eller hardware wallet). En av buggarna som identifierades av den femtonåriga Saleem Rashid gör att en person som har fysisk tillgång till en enhet kan komma åt den privata nyckeln.
Saleems attack går under namnet MCU-fooling och går ut på att firmware i en av två processorer modifieras, exempelvis av en återförsäljare av enheterna. Ledger meddelar att en uppdatering till version 1.4.1 åtgärdar dessa buggar för Ledger Nano S. Till Ledger Blue finns det ännu ingen uppdatering.
Rasheed said unlike its competitors in the hardware wallet industry, Ledger includes no tamper protection seal or any other device that might warn customers that a Nano S has been physically opened or modified prior to its first use by the customer.
Även två till säkerhetsbuggar har blivit åtgärdade. Läs mer om dessa här:
- Timothée Isnard – Oracle padding på SCP
- Sergei Volokitin – Isolation Exploit
Hej! Det vore kul om du ville stödja Kryptera.se via Patreon >
Uppdatering: Det har hänt en hel del runt denna historien. Saleem har skrivit ett eget utmärkt blogginlägg och han har även identifierat en sårbarhet i Trezor Wallet.