Представители компании Ledger, специализирующейся на производстве аппаратных криптовалютных кошельков, сообщили пользователям об обнаружении уязвимости, которая дает возможность осуществлять атаку типа man-in-the-middle.
Аппаратные USB-кошельки считаются наиболее безопасным способом хранения криптовалют, поскольку они не связаны с интернетом. Однако, чтобы провести транзакцию, пользователь все равно должен подключить аппаратный кошелек к компьютеру с доступом к интернету. Как утверждают ИБ-эксперты, хакеры могут воспользоваться уязвимостью в Ledger, когда кошелек подключен к компьютеру.
В отчете экспертов указано, что кошелек создает отображаемый адрес для того, чтобы получать криптовалюту посредством JavaScript-кода, который запущен на хосте. Вредоносная программа может поменять этот код на другой адрес, что позволяет переводить все будущие депозиты на кошелек, принадлежащий преступникам. Так как программное обеспечение Ledger находится в папке AppData, вредоносная программа может легко поменять адрес кошелька, изменив лишь одну строку кода. Если атака проходит успешно, жертва сначала даже не подозревает о действиях злоумышленников.
Эксперты 4 января сообщил сотрудникам Ledger о находке. 27 января технический директор компании вышел на связь с ними. Он сообщил, что в Ledger не будут работать над патчем, но сделают все возможное, чтобы рассказать об уязвимости пользователям и помочь им защитить свои сбережения. Эксперты предложили добавить в кошелек функционал, который будет запрашивать подтверждение адреса, но предложение не было принято.
Чтобы защититься от атак, пользователи биткоин-кошельков перед каждой транзакцией должны посредством кнопки мониторинга проверять целостность адреса. Эксперты советуют пользователям Ethereum-кошельков подключать их лишь к компьютерам под управлением операционной системы Live CD.
