Ledger: nuova vulnerabilità per l’hardware wallet
Ledger: nuova vulnerabilità per l’hardware wallet
Sicurezza

Ledger: nuova vulnerabilità per l’hardware wallet

By Alfredo de Candia - 5 Ago 2020

Chevron down
Ascolta qui
download

Ieri il team di Monokh ha dato una notizia sconvolgente, avendo scoperto una vulnerabilità in uno dei più famosi hardware wallet e che è ritenuto tra i più sicuri, ovvero Ledger.

Come possiamo leggere, il problema riguarda delle transazioni che non vengono processate correttamente, facendo credere agli utenti che vengono invece eseguite delle altre transazioni di altre blockchain invece che quella di Bitcoin (BTC).

Il problema si verifica utilizzando app diverse da quelle ufficiali per il wallet, per esempio se confermiamo una transazione di Litecoin staremo invece firmando una transazione Bitcoin.

Nel dettaglio è questo quello che succede:

  1. Aprite l’applicazione Litecoin;

  2. Recuperate gli indirizzi bitcoin mainnet (segwit) utilizzando getWalletPublicKey(’84’/0’/0’/0’/’).publicKey;

  3. Interrogate gli UTXO e realizzate una transazione bitcoin per spendere gli output;

  4. Inviate createPaymentTransactionNew(…) al dispositivo di richiesta per la firma di questa transazione;

  5. Ricevete la transazione Bitcoin Mainnet valida e firmata.

Ledger, una vulnerabilità già nota

Nonostante questo problema sia stato segnalato a Ledger oltre un anno fa, precisamente il 18 gennaio del 2019, nulla è stato fatto fino a tal proposito e quindi è stato pubblicato, così adesso Ledger dovrà intervenire per forza per chiudere la falla.

Queste sono le versioni affette dal problema, per cui quindi si invita a controllare se il proprio Ledger rispecchia queste caratteristiche:

  • Firmware: Tutte le versioni. Attualmente 1.6.0;
  • Versioni App: Tutte le versioni. Attualmente 1.4.3;
  • App: Tutte le applicazioni derivanti dall’applicazione Bitcoin come da btchip_context.h;
  • App Testate: Bitcoin Testnet, Litecoin.

La cosa più sconcertante di Ledger è la quantità di errori che stanno venendo fuori. 

Ricordiamo la recente vulnerabilità scoperta sul Ledger Nano X, oppure il data breach confermato un paio di giorni fa dove più di 1 milione di indirizzi email sono stati trafugati a oltre 9.500 clienti.

Non dimentichiamo che adesso i criminali hanno questi dati che potrebbero sfruttare a loro vantaggio e bersagliare tutti quelli che hanno il dispositivo con questa falla.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.