Изготовитель холодных кошельков Ledger опубликовал отчет о трех уязвимостях, обнаруженных независимыми исследователями в рамках bounty-программы компании, обещающей вознаграждение за поиск дыр в защите с последующим сообщением экспертам по безопасности Ledger.
Первая относится к категории так называемой Oracle-набивки – известная с 2002 года разновидность уязвимостей при обмене шифрованными и нешифрованными сообщениями, которая может проявиться при апгрейде собственной операционной системы кошелька BOLOS. Однако по утверждению изготовителя безопасности хранимых средств данная брешь в защите не угрожает.
Вторая уязвимость может представлять опасность лишь в случае, если преступник имел доступ к устройству до того, как пользователь сгенерировал seed, и внедрил свою фразу восстановления. Третья брешь также предполагает доступ к устройству, плюс знание PIN-кода.
Так что в принципе ни одна из потенциальных угроз не является прямой и серьезной, для атаки нужны очень специфические условия (доступ к вашему кошельку). Тем не менее, Ledger выпустил обновление своего ПО версии 1.4.1 и рекомендует установить его всем пользователям.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: