האם ננו ספר החשבונות שלך יכול להיות רגיש לאדם במתקפה האמצעית?

Ledger Nano הוא ללא ספק ארנק החומרה הפופולרי ביותר הקיים כיום. הם מכרו יותר ממיליון מכשירים להודלרים מטבעות קריפטוגרפיה מודעים לביטחון ברחבי העולם.

עם זאת, זה היה לאחרונה דיווח שהארנק עלול להיות רגיש להתקפה של איש באמצע (MITM). לא היו דיווחים על שימוש בפועל במנצל זה, אך בהתחשב בכמות ננו ספרים ברחבי העולם, זה עדיין מטריד.

תבע לך אסימונים OTN

לפיכך, על מנת להקדים צעד לפני כל ניצול פוטנציאלי של כספי המשתמשים שלהם, צוות Ledger פרסם את ההנחיות שלהם כיצד ניתן לוודא שהם לא ייפלו קורבן לווקטור התקפה זה.

לפני שנבדוק את הניצול הפוטנציאלי, עלינו להבין כמה יסודות.

ארנקים של הארוור והתקפות MITM

ארנקי חומרה נתפסים כאחת הדרכים הבטוחות ביותר לאחסון כמויות גדולות של מטבעות ולהרחיקם מידי האקרים. אלה הרחבה של אפשרויות האחסון הקרה שהן “מפוצצות”. Airgapped מרמז שהמטבעות מאוחסנים איפה שהם לא מחוברים לאינטרנט.

ארנק החומרה ישמור את הנתונים החשובים ביותר (מפתח פרטי) במכשיר וידאג שלא יהיה ניתן לגשת אליו מכוחות חיצוניים. הפעם היחידה שהארנק יתקשר אי פעם עם הרשת היא כאשר אתה צריך לשלוח את המטבעות ולחבר אותם למחשב האישי שלך.

איש באמצע התקפות הן כאלו שתוקף יכניס את עצמו בינך לבין צומת רשת או שרת אחר. הם יפקחו על התנועה שלך וינסו לחלץ מידע חשוב שניתן להשתמש בו כדי לפגוע בך.

מהו וקטור ההתקפה?

מיצוי ארנק Ledger ננו

צילום מסך של ארנק – תמונה מָקוֹר

כאמור, הפעם היחידה שיש לארגן ארנק חומרה לרשת היא כאשר אתה שולח כספים. למרות שזה נחשב עדיין מאובטח ביותר, החוקרים גילו את הפגיעות.

כפי שהוסבר בדוח, ארנקי Ledger ייצרו את כתובת הקבלה באמצעות JavaScript שתפעל במחשב המארח. לפיכך, אם הייתה תוכנה זדונית כלשהי במחשב המארח, היא יכולה לשנות את כתובת הארנק על ידי שינוי קוד Ledger.

ניתן לראות זאת בתמונה מימין כאשר הפרט בוחר לקבל ביטקוין. הכתובת שונתה וייתכן כי שולל הכונס לשלוח לכתובת שגויה. יתר על כן, בהתחשב בכך שמבנה הארנק בדרך כלל משנה כתובות אלה, יתכן שהם לא יודעים זאת.

למה זה כל כך מסוכן?


למרות שזה עדיין ידרוש האקר להציב תוכנות זדוניות במחשב האישי, החוקרים ציינו כי שינוי קוד זה עבור ממשק הארנק אינו מסובך כל כך עבור התוכנה הזדונית..

קבצי ה- JavaScript נשמרים בתיקיית AppData שאינה דורשת הרשאות משתמש מיוחדות כדי לגשת אליהם. אין גם בדיקות שנעשות על ידי ספר החשבונות כדי לוודא שלא טופלו בקבצי המקור לפני הביצוע.

בהתחשב כמה פשוט לגשת לקבצים ולשנות שורת קוד JavaScript, החוקרים ציינו כי כל מה שיידרש התוכנה הזדונית יהיה להכניס כ -10 שורות קוד פייתון..

באופן דומה, זה יכול להיות וקטור תקיפה רווחי למדי עבור אלו שהינם חדשים במשחק הקריפטו. ברגע שמישהו רכש את כל מטבעותיו בבורסה, הוא עשוי לשלוח אותו לארנקים שלו. זה יביא לכך שההאקרים יוכלו לקצור את התיקים הראשוניים הגדולים שלהם.

לבסוף, ההתקפה עובדת בצורה כזו שהיא מסוגלת לשנות גם את קוד ה- QR. הכתובת משתנה בקוד המקור לפני יצירת קוד ה- QR. מכאן ששניהם יתאימו לכתובת השגויה.

אמצעי הפחתה פוטנציאליים

לחוקרים היו כמה הצעות כיצד ניתן להימנע מנפילת קורבן להתקפה אם הם אכן נגועים. אחד מהם יכול להיות תכונה ללא תיעוד שקיימת עבור ארנק הביטקוין בספר החשבונות.

זהו כפתור קטן בתחתית המסך שיאפשר למשתמש לפקח על כתובת הארנק במסך הפנקס עצמו. בדרך זו הם יכולים לאשר שהכתובת המתאימה כראוי לארנק אכן מוצגת כהלכה על גבי מסך המחשב.

זה גם דבר שהוצע על ידי צוות החשבונות בציוץ כשהגיבו לגילוי.

החוקרים ציינו כי שלב המוניטור אינו מהווה חלק מתהליך השליחה המוגדר כברירת מחדל ומכאן שמפתחי Ledger יכולים להפוך אותו לחובה. למרבה הצער, זה זמין רק באפליקציית הביטקוין של Ledger.

השלכות על ספר החשבונות?

אמנם עדיין לא נעשה שימוש במנצל זה, אך עדיין מדובר בהתפתחות מדאיגה למפתח החומרה החשוב ביותר בעולם. חייבים להיות מיליארדי עושר קריפטו המאוחסן בארנקי החומרה הללו.

למרות שאפשר לטעון כי זה עדיין צריך להיות תוכנה זדונית במחשב של המשתמש, הרעיון שאפשר לשנות כל כך בקלות את קוד Ledger מטריד. יתר על כן, לדג’ר תמיד התגאה בכך שהמטבעות שלך מאובטחים לחלוטין ללא קשר למה שיש על המכונה המארחת.

חשוב לציין, עם זאת, השארת המטבעות שלך בארנק ספרים עדיין בטוחה מאוד מאשר להשאיר אותם בבורסה או בארנק שולחן עבודה. זה לא פגם במכשיר הפנקס עצמו אלא רק וקטור ניצול בממשק המשתמש עם אפליקציית שולחן העבודה.

לפיכך, כל עוד אתה מסוגל לוודא שהכתובת שמוצגת לך במחשב האישי שלך היא אותה שמורה בארנק החומרה, עליך להיות בטוח.

תמונה מוצגת באמצעות Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me