Ledger: pequenas vulnerabilidades recentemente descobertas na carteira

Ledger afirmou que as vulnerabilidades descobertas recentemente em suas carteiras de hardware não são críticas em um post oficial do Medium em 28 de dezembro.

Ontem, na conferência 35C3 Refreshing Memories, em Berlim, pesquisadores afirmaram que conseguiram hackear as carteiras de criptomoedas Trezor One, Ledger Nano S e Ledger Blue.

No post, a empresa explica que parece haver “três caminhos de ataque que poderiam dar a impressão de que vulnerabilidades críticas foram descobertas”, mas, segundo eles, “esse não é o caso”.

A razão pela qual Ledger diz que a vulnerabilidade não é crítica é que “eles não conseguiram extrair nenhuma semente nem PIN em um dispositivo roubado” e “ativos confidenciais armazenados no Elemento Seguro permanecem seguros”.

De acordo com a empresa, a vulnerabilidade do Ledger Nano S “demonstrou que modificar fisicamente o Ledger Nano S e instalar malware no PC da vítima pode permitir que um atacante próximo assine uma transação após o PIN ser inserido e o aplicativo Bitcoin (BTC) ser lançado."

Isso, argumenta Ledger, é “bastante impraticável, e um hacker motivado definitivamente usaria truques mais eficientes.” Enquanto os pesquisadores afirmavam que a vulnerabilidade lhes permitia “enviar transações maliciosas para o ST31 [o chip seguro] e até mesmo confirmar nós mesmos” Ledger nega, afirmando:

“O firmware deles é executado no MCU no modo Bootloader. Isso significa que você precisa apertar o botão esquerdo durante a inicialização e o elemento seguro não inicializa.”

Ledger também alega que a demonstração do ataque Ledger Blue é “um pouco irreal e não é prático, ”alegando que “a posição do receptor e do dispositivo atacante deve ser exatamente a mesma, a posição do cabo USB também é primordial (como age como uma antena)”.

O post afirmou que "se as condições não forem exatamente as mesmas, o classificador de aprendizado de máquina não funcionará corretamente". Por esse motivo, Ledger concluiu:

"Esse ataque é definitivamente interessante, mas não permite adivinhar o PIN de alguém em condições reais (exige que você nunca mova seu dispositivo)".

Além disso, devido a essa vulnerabilidade, Ledger afirmou que a próxima atualização do firmware do Ledger Blue contará com um teclado aleatório para o pino.

A empresa também afirmou que eles “lamentam que os pesquisadores não tenham seguido os princípios de segurança padrão descritos no programa Bounty do Ledger”. Segundo Ledger “no mundo da segurança, a maneira usual de proceder é a divulgação responsável. Este é o modelo no qual uma vulnerabilidade é divulgada somente após um período de tempo razoável que permite que a vulnerabilidade seja corrigida, bem como para mitigar os riscos para os usuários ”.

Em novembro, a Ledger anunciou sua expansão para Nova York para desenvolver sua oferta de custódia institucional, a Ledger Vault. Além disso, a empresa também assinou recentemente um acordo com Crypto.com, a startup de pagamento por criptos, para permitir que os usuários paguem por seus produtos com criptomoedas.