شرکت لجر در ارتباط با یک خطر امنیتی مهم به کاربرانش هشدار داد

این شرکت به کاربران خود در مورد یک حمله بزرگ که اخیرا کشف شده هشدار داده است.
اگر چه مواردی وجود نداشته است که این حملات در آنها موفقیت‌آمیز باشند، اما این تهدید بسیار واقعی تلقی می‌شود. امروز Ledger اصرار داشت تا کاربرانی که از کیف پول سخت افزاری این شرکت استفاده کرده‌اند، اقدامات لازم را برای جلوگیری از به دام افتادن در حمله تغییر آدرس انجام دهند.

مراقب استراق سمع در حمله مرد میانی باشید!

کیف پول‌های سخت افزاری به عنوان یکی از امن‌ترین ابزارهای ذخیره‌سازی بیت کوین و دیگر ارزهای دیجیتالی شناخته می‌شوند. دستگاه‌های ذخیره‌سازی USB در هنگام اتصال به وب حمله‌های متشابه را حذف می‌کنند. اما برای ارسال ارز و یا دریافت از یک آدرس، یک کیف پول سخت‌افزاری باید به دستگاهی که به اینترنت متصل است وصل شود.
محققان یک آسیب‌پذیری را در این کیف پول‌های سخت‌افزاری کشف کرده‌اند که بر روی دستگاه‌های Ledger تأثیر می‌گذارند. گزارشی که تازه منتشر شده نشان می‌دهد که چگونه حمله MiTM (مرد میانی) اتفاق می‌افتد. این گزارش توضیح می‌دهد که:

کیف پول Ledger آدرس دریافت شده را با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید کرده و نمایش می‌دهد. بدافزار به راحتی می‌تواند کدی را برای جایگزینی آدرس دریافتی با آدرس خود اعمال کند، و باعث می‌شود که تمام سپرده‌های آینده قربانی به مهاجم ارسال شود.

اگر حمله انجام شود، قربانی در ابتدا درباره اتفاقی که افتاده چیزی متوجه نمی شود.
برای اثبات این آسیب پذیری، نویسندگان گزارش مفهومی را ارائه داده‌اند که نشان می‌دهد حمله در عمل چگونه اتفاق می‌افتد.
شدت حمله با استفاده از نرم‌افزار کیف پول Ledger که در پوشه AppData ذخیره می‌شود، افزایش می یابد. بدافزار به راحتی قادر است تا آدرس دریافتی را تغییر دهد. همانطور که در این گزارش اشاره شده است:

تمام کاری که بدافزارها نیاز دارند تا انجام دهند، جایگزینی یک خط از کد است… این کد می‌تواند با کمتر از ۱۰ خط پایتون به دست آید

یک راه حل

همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از تسلیم شدن در برابر این حمله، تأیید و چک کردن صحت آدرس دریافتی موثر و مهم است. این موضوع را  Ledger در توییت اخیر خود نیز اذعان کرده است:

 

این راه حل، در حالی هم موثر است و هم بی فایده زیرا کاربر باید همیشه به یاد داشته باشد که هربار قبل از هر تراکنش آدرس مورد نظر را چک کند. همانطور که در گزارش آمده است:

یک راه حل مناسب برای (اجبار) کاربر تایید و چک کردن آدرس دریافتی قبل از هر تراکنش است. درست مانند کیف پول که کاربر را مجبور می‍کند تا هر معامله‌ قبل از ارسال را تایید کند

سیستمی است که Trezor در حال حاضر در کیف پول‌های سخت افزاری خود مجوز ۲FA را برای دسترسی به آدرس دریافت استفاده می کند و این امید وجود دارد که Ledger هم که در حال تکمیل و به‌روز‌رسانی دستگاه‌های خود است از این روش پیروی کند.
کیف پول‌های سخت افزاری همچنان به طور قابل ملاحظه‌ای امن‌تر از وجوه ذخیره شده در صرافی های متمرکز هستند، اما پرونده Ledger نشان می‌دهد که هیچ راه حلی صد در صد نیست.

آپدیت: درهنگام انتشار این خبر شرکت لجر تاکید کرده است که:

این مساله فقط برای این ما نبوده و تمام این این صنعت تحت تاثیر این حمله خواهند بود و این آسیب پذیری خود دستگاه نیست، اما یک واقیعت محرز این است که شما نمی توانید تنها به آنچه در صفحه نمایش می بینید اعتماد کنید.

آنها همچینین اعلام کردند که:

ما آپدیتی برای مرورگر کروم منتشر کردیم که که کاربر را مجبور به تایید آدرس های مقصد نه فقط بر روی صفحه نمایش کامپیوتر خود بلکه در کیف پول سخت افزاری لجر می کند، ما این ویژگی را برای چند ماه فعال می کنیم تا در آینده نزدیک کیف پول نرم افزاری دسکتاپ را هم آپدیت کنیم.

 

شما راجع به این موضع چه فکری می کنید؟ آیا کیف پول های سخت افزاری با چالش های بیشتری مواجه خواهند شد؟ در دنیای عدم قطعیت ها آیا می توان گفت کیف پول های سخت افزاری یکی از امن ترین راه ها برای حفظ دارایی شما هستند؟ نظرات خود را با ما در میان بگذارید.