لجر تولیدکننده کیف پول سخت افزاری است که در سال گذشته بیش از یک میلیون دستگاه فروخته. این شرکت به کاربران خود در مورد یک حمله بزرگ که اخیرا کشف شده هشدار داده است.
اگر چه مواردی وجود نداشته است که این حملات در آنها موفقیتآمیز باشند، اما این تهدید بسیار واقعی تلقی میشود. امروز Ledger اصرار داشت تا کاربرانی که از کیف پول سخت افزاری این شرکت استفاده کردهاند، اقدامات لازم را برای جلوگیری از به دام افتادن در حمله تغییر آدرس انجام دهند.
کیف پولهای سخت افزاری به عنوان یکی از امنترین ابزارهای ذخیرهسازی بیت کوین و دیگر ارزهای دیجیتالی شناخته میشوند. دستگاههای ذخیرهسازی USB در هنگام اتصال به وب حملههای متشابه را حذف میکنند. اما برای ارسال ارز و یا دریافت از یک آدرس، یک کیف پول سختافزاری باید به دستگاهی که به اینترنت متصل است وصل شود.
محققان یک آسیبپذیری را در این کیف پولهای سختافزاری کشف کردهاند که بر روی دستگاههای Ledger تأثیر میگذارند. گزارشی که تازه منتشر شده نشان میدهد که چگونه حمله MiTM (مرد میانی) اتفاق میافتد. این گزارش توضیح میدهد که:
کیف پول Ledger آدرس دریافت شده را با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید کرده و نمایش میدهد. بدافزار به راحتی میتواند کدی را برای جایگزینی آدرس دریافتی با آدرس خود اعمال کند، و باعث میشود که تمام سپردههای آینده قربانی به مهاجم ارسال شود.
اگر حمله انجام شود، قربانی در ابتدا درباره اتفاقی که افتاده چیزی متوجه نمی شود.
برای اثبات این آسیب پذیری، نویسندگان گزارش مفهومی را ارائه دادهاند که نشان میدهد حمله در عمل چگونه اتفاق میافتد.
شدت حمله با استفاده از نرمافزار کیف پول Ledger که در پوشه AppData ذخیره میشود، افزایش می یابد. بدافزار به راحتی قادر است تا آدرس دریافتی را تغییر دهد. همانطور که در این گزارش اشاره شده است:
تمام کاری که بدافزارها نیاز دارند تا انجام دهند، جایگزینی یک خط از کد است… این کد میتواند با کمتر از ۱۰ خط پایتون به دست آید
همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از تسلیم شدن در برابر این حمله، تأیید و چک کردن صحت آدرس دریافتی موثر و مهم است. این موضوع را Ledger در توییت اخیر خود نیز اذعان کرده است:
این راه حل، در حالی هم موثر است و هم بی فایده زیرا کاربر باید همیشه به یاد داشته باشد که هربار قبل از هر تراکنش آدرس مورد نظر را چک کند. همانطور که در گزارش آمده است:
یک راه حل مناسب برای (اجبار) کاربر تایید و چک کردن آدرس دریافتی قبل از هر تراکنش است. درست مانند کیف پول که کاربر را مجبور میکند تا هر معامله قبل از ارسال را تایید کند
سیستمی است که Trezor در حال حاضر در کیف پولهای سخت افزاری خود مجوز ۲FA را برای دسترسی به آدرس دریافت استفاده می کند و این امید وجود دارد که Ledger هم که در حال تکمیل و بهروزرسانی دستگاههای خود است از این روش پیروی کند.
کیف پولهای سخت افزاری همچنان به طور قابل ملاحظهای امنتر از وجوه ذخیره شده در صرافی های متمرکز هستند، اما پرونده Ledger نشان میدهد که هیچ راه حلی صد در صد نیست.
آپدیت: درهنگام انتشار این خبر شرکت لجر تاکید کرده است که:
این مساله فقط برای این ما نبوده و تمام این این صنعت تحت تاثیر این حمله خواهند بود و این آسیب پذیری خود دستگاه نیست، اما یک واقیعت محرز این است که شما نمی توانید تنها به آنچه در صفحه نمایش می بینید اعتماد کنید.
آنها همچینین اعلام کردند که:
ما آپدیتی برای مرورگر کروم منتشر کردیم که که کاربر را مجبور به تایید آدرس های مقصد نه فقط بر روی صفحه نمایش کامپیوتر خود بلکه در کیف پول سخت افزاری لجر می کند، ما این ویژگی را برای چند ماه فعال می کنیم تا در آینده نزدیک کیف پول نرم افزاری دسکتاپ را هم آپدیت کنیم.