Критическая Уязвимость? НЕТ!

Официальное опровержение компании Ledger

Безымянный 3 

 

В субботу 3 февраля веб-сайт bitcoin.com опубликовал сообщение в своем блоге под названием Ledger Addresses Man в средней атаке, которая угрожает миллионами кошельков. Претензии, сделанные в этом сообщении, к сожалению, неверны.

Это не уязвимость Ledger'а! Пользователи Ledger не подвержены риску, пока они проверяют новый адрес приема на своем устройстве. Насколько нам известно, ни один пользователь не потерял ни одной монеты из-за этого, что остается доказательством концепции компании.

 

Некоторые предпосылки

Мы изначально разработали аппаратные кошельки Ledger, поскольку компьютеры нельзя считать безопасными. Вредоносная программа или вирус могут заменить принимающий адрес на компьютере другим, обманывая пользователя при отправке средств непреднамеренной третьей стороне (возможно, злоумышленнику).

Аппаратные кошельки обеспечивают изолирующий слой между компьютером и семенем (ваши личные ключи). Тем не менее, пользователи должны всегда проверять, что они отправляют монеты на правильный адрес при транзакции.

 

Доказательства

Безымянный 4Исследователи опубликовали доказательство концептуальной атаки, в которой вредоносное ПО модифицирует приложение Ledger Chrome для редактирования полученного адреса, отображаемого на экране компьютера.

Насколько нам известно, это всего лишь доказательство концепции фишинговой атаки, и ни один пользователь Ledger никогда не обманывался, используя эту технику. Мы уже знали об этом сценарии: компьютеры нельзя считать безопасными, и поэтому Вы не можете доверять тому, что видите на экране монитора. Именно поэтому мы решили создать аппаратный кошелек Ledger.

Мы настаиваем на том, что злоумышленник может что-либо сделать на компьютере, не надо доверять тому, что отображается на экране компьютера. Единственное, чему пользователи могут полностью доверять, это тому, что отображается на экране аппаратного кошелька Ledger. Приложение «Ledger Wallet Bitcoin Chrome» также имеет выделенный значок (третий с левой стороны, см. Изображение выше), позволяющий пользователю отображать принимающий адрес на своем устройстве Ledger. Когда пользователь нажимает на этот значок, правильный адрес генерируется кошельком и отображается на экране аппаратного кошелька. Это единственная информация, которой вы можете доверять.

 

Дальнейшие действия

В Ledger мы стремимся предоставить нашим пользователям простой и безопасный способ управления своими криптоактивными активами. Чтобы избежать какого-либо злоупотребления, мы будем предоставлять нашему сообществу дополнительные услуги и информацию, начиная с перечисленных ниже.

  • Обновление программного обеспечения: мы выпустили обновление к приложению «Блейт-брейк» в кошельке Ledger, которое попросит пользователей проверить адреса получателей на их аппаратном устройстве Ledger, а не только на экране своего компьютера. Bitcoin & altcoins получают новую функцию (приложения ETH и XRP выиграют от этой функции в новом глобальном выпуске)

Screen Shot 2018 02 05 at 19.22.02

Screen Shot 2018 02 05 at 19.58.24

  • Модернизированная программа Bug Bounty: мы быстро развиваемся - и все еще разрабатываем и укрепляем некоторые из наших закулисных проектов. Мы ценим вклад исследователей безопасности и сообщества, и будем делать наши программы Bug Bounty более быстрыми и эффективными. У нас уже настроен специальный почтовый адрес: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.">
  • Образование: безопасность - это гонка вооружений, но мы находимся в ней надолго. Мы планируем продолжить работу над ресурсами и материалами, чтобы помочь обучить наше сообщество угрозам, с которыми они сталкиваются, и как они могут наилучшим образом защитить свои активы. Мы приглашаем вас ознакомиться с нашим базовым набором правил безопасности.
  • Убедитесь, что ваши приложения на Nano S обновлены до последней версии (с помощью Ledger Manager). В ближайшие дни мы опубликуем дополнительную информацию о Ledger Wallet для десктопов.

Статья с официального сайта: https://www.ledger.fr/2018/02/05/man-middle-attack-risk/

Появились вопросы или есть предложения?

Отправьте их нам, наши специалисты принимают на рассмотрение все вопросы и пожелания клиентов!

  • Неверный ввод
  • Неверный ввод
    Please use a REAL email address so that we can get back to you.
  • Неверный ввод