क्या आपका लेजर नैनो मध्य हमले में एक आदमी के लिए अतिसंवेदनशील हो सकता है?

लेजर नैनो एक संदेह के बिना सबसे लोकप्रिय हार्डवेयर वॉलेट है जो वर्तमान में बाजार पर है। उन्होंने दुनिया भर में सुरक्षा के प्रति जागरूक क्रिप्टोकरेंसी होडलर्स को 1 मिलियन से अधिक डिवाइस बेचे हैं.

हालाँकि, यह हाल ही में किया गया है की सूचना दी यह बटुआ एक मानव-मध्य (MITM) हमले के लिए अतिसंवेदनशील हो सकता है। वास्तव में इस शोषण की कोई रिपोर्ट नहीं मिली है लेकिन वैश्विक स्तर पर इसके लिए नैनो की मात्रा को देखते हुए इसे अभी भी परेशान किया जा रहा है.

आप OTN टोकन का दावा करें

इसलिए, अपने उपयोगकर्ता के धन के किसी भी संभावित दोहन से एक कदम आगे ले जाने के लिए, लेजर टीम ने अपना मार्गदर्शन जारी किया कि कोई कैसे यह सुनिश्चित कर सकता है कि वे इस हमले के शिकार के शिकार न हों.

इससे पहले कि हम संभावित शोषण पर एक नज़र डालें, हमारे लिए कुछ बुनियादी बातों को समझना आवश्यक है.

हार्वेयर वॉलेट और MITM अटैक

हार्डवेयर वॉलेट को बड़ी मात्रा में सिक्कों को संग्रहीत करने और उन्हें हैकर्स के हाथों से बाहर रखने के सबसे सुरक्षित तरीकों में से एक के रूप में देखा जाता है। ये कोल्ड स्टोरेज विकल्पों का विस्तार हैं जो “एयरगैप्ड” हैं। एयरगैप्ड का तात्पर्य है कि सिक्कों को कहीं स्टोर किया जाता है जहाँ वे इंटरनेट से नहीं जुड़े होते हैं.

हार्डवेयर वॉलेट डिवाइस पर सबसे महत्वपूर्ण डेटा (निजी कुंजी) संग्रहीत करेगा और यह सुनिश्चित करेगा कि इसे बाहरी बलों से एक्सेस नहीं किया जा सकता है। एकमात्र समय जो वॉलेट कभी नेटवर्क के साथ बातचीत करेगा, जब आपको सिक्कों को भेजना होगा और इसे अपने पीसी से कनेक्ट करना होगा.

बीच वाला व्यक्ति हमले वे होते हैं, जब कोई हमलावर आपके और दूसरे नेटवर्क नोड या सर्वर के बीच खुद को सम्मिलित करेगा। वे आपके ट्रैफ़िक की निगरानी करेंगे और उन महत्वपूर्ण जानकारियों को आज़माएँगे और निकालेंगे जिनका उपयोग आपसे समझौता करने के लिए किया जा सकता है.

हमला वेक्टर क्या है?

लेजर नैनो वॉलेट एक्सप्लॉइट

वॉलेट का स्क्रीनशॉट – छवि स्रोत

जैसा कि उल्लेख किया गया है, केवल एक बार जब हार्डवेयर वॉलेट को वेब से कनेक्ट करना होता है, जब आप फंड भेज रहे होते हैं। हालांकि यह अभी भी बेहद सुरक्षित माना जाता था, शोधकर्ताओं ने भेद्यता की खोज की है.


जैसा कि रिपोर्ट में बताया गया है, लेजर वॉलेट जावास्क्रिप्ट का उपयोग करके प्राप्त पता को उत्पन्न करेगा जो होस्ट पीसी पर काम करेगा। इसलिए, अगर कुछ मैलवेयर था जो होस्ट मशीन पर था, तो यह लेजर कोड को बदलकर वॉलेट का पता बदल सकता है.

यह दाईं ओर की छवि में देखा जा सकता है क्योंकि व्यक्ति बिटकॉइन प्राप्त करने के लिए चुनाव कर रहा है। पता बदल दिया गया है और गलत पते पर भेजने पर रिसीवर को ठगा जा सकता है। इसके अलावा, यह देखते हुए कि वॉलेट संरचना आमतौर पर इन पतों को बदल देती है, वे यह नहीं जानते होंगे.

यह इतना खतरनाक क्यों है?

यद्यपि इसके लिए आपके पीसी पर मैलवेयर रखने के लिए हैकर की आवश्यकता होगी, शोधकर्ताओं ने बताया कि बटुआ इंटरफ़ेस के लिए इस कोड को बदलना मालवेयर को पूरा करने के लिए जटिल नहीं है।.

जावास्क्रिप्ट फ़ाइलों को AppData फ़ोल्डर में संग्रहीत किया जाता है, जिसे उपयोग करने के लिए विशेष उपयोगकर्ता विशेषाधिकार की आवश्यकता नहीं होती है। वहाँ भी कोई जाँच नहीं है कि खाता बही द्वारा किया जाता है यह सुनिश्चित करने के लिए कि निष्पादन से पहले स्रोत फ़ाइलों के साथ छेड़छाड़ नहीं की गई है.

यह देखते हुए कि फाइलों को एक्सेस करना और जावास्क्रिप्ट कोड की एक लाइन को बदलना कितना सरल है, शोधकर्ताओं ने बताया है कि मैलवेयर के लिए आवश्यक सभी पायथन कोड की 10 लाइनों को सम्मिलित करना होगा।.

इसी तरह, यह उन लोगों के लिए काफी लाभदायक हमला वेक्टर हो सकता है जो क्रिप्टोक्यूरेंसी गेम में नए हैं। जैसे ही किसी ने अपने सभी सिक्कों को एक एक्सचेंज पर खरीदा है, वे इसे अपने पर्स में भेजने की संभावना रखते हैं। इसके परिणामस्वरूप हैकर्स अपने बड़े प्रारंभिक पोर्टफोलियो को काट सकेंगे.

अंत में, हमला इस तरह से काम करता है कि यह क्यूआर कोड को भी बदलने में सक्षम है। क्यूआर कोड की पीढ़ी से पहले स्रोत कोड में पता बदल जाता है। इसलिए, वे दोनों गलत पते के अनुरूप होंगे.

संभावित शमन उपाय

शोधकर्ताओं के पास कुछ सुझाव थे कि अगर वे वास्तव में संक्रमित थे तो हमले के शिकार होने से कैसे बचा जा सकता है। उनमें से एक एक अनिर्धारित सुविधा हो सकती है जो कि बिटकॉइन वॉलेट के लिए मौजूद है.

यह स्क्रीन के निचले भाग में एक छोटा बटन है जो उपयोगकर्ता को बही स्क्रीन पर बटुए के पते की निगरानी करने की अनुमति देगा। इस तरह, वे इस बात की पुष्टि कर सकते हैं कि जो पता सही ढंग से वॉलेट से मेल खाता है वह वास्तव में पीसी स्क्रीन पर सही ढंग से प्रदर्शित हो रहा है.

यह भी कुछ ऐसा है जो एक ट्वीट में खाता बही टीम द्वारा सुझाया गया था क्योंकि उन्होंने प्रकटीकरण पर प्रतिक्रिया दी थी.

शोधकर्ताओं ने बताया कि यह मॉनिटर चरण कुछ ऐसा नहीं है जो डिफ़ॉल्ट भेजने की प्रक्रिया का हिस्सा है और इसलिए लेजर डेवलपर्स इसे अनिवार्य बना सकते हैं। दुर्भाग्य से, यह केवल लेजर के बिटकॉइन ऐप पर उपलब्ध है.

लेजर के लिए निहितार्थ?

हालांकि इस कारनामे का अभी तक उपयोग नहीं किया गया है, लेकिन यह अभी भी दुनिया में सबसे महत्वपूर्ण हार्डवेयर डेवलपर के लिए एक खतरनाक विकास है। इन हार्डवेयर वॉलेट पर अरबों की क्रिप्टो वेल्थ जमा होनी चाहिए.

यद्यपि कोई यह तर्क दे सकता है कि यह अभी भी उपयोगकर्ता की मशीन पर मालवेयर होगा, इस धारणा को कि कोई आसानी से लेजर कोड को बदल सकता है, परेशान कर रहा है। इसके अलावा, लेज़र ने हमेशा अपने सिक्कों को मेजबान मशीन पर चाहे जो भी हो, पूरी तरह से सुरक्षित रखने पर गर्व किया है.

हालांकि, यह नोट करना महत्वपूर्ण है कि अपने सिक्कों को एक लेज़र वॉलेट पर छोड़ना अभी भी एक्सचेंज या डेस्कटॉप वॉलेट पर छोड़ने की तुलना में बहुत सुरक्षित है। यह लेज़र डिवाइस में एक दोष नहीं है, लेकिन केवल डेस्कटॉप ऐप के साथ यूजर इंटरफेस पर एक शोषण वेक्टर है.

इसलिए, जब तक आप यह सुनिश्चित करने में सक्षम होते हैं कि आपके पीसी पर आपके लिए जो पता प्रस्तुत किया जा रहा है, वह वही है जो हार्डवेयर वॉलेट में संग्रहीत है, तो आपको सुरक्षित होना चाहिए.

फ़ोटोलिया के माध्यम से चित्रित छवि

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map