Ledger, il celebre crypto hardware wallet, ha dovuto chiarire il funzionamento del suo firmware dopo aver cancellato dei tweet che confondevano le idee.
Summary
Ledger: il crypto wallet cancella dei tweet e chiarisce il funzionamento del suo firmware
Il crypto hardware wallet per eccellenza, Ledger, ha chiarito il funzionamento del suo firmware dopo aver cancellato un tweet scritto da un agente dell’assistenza clienti, che confondeva le idee e aveva scatenato polemica.
“Potreste aver visto un tweet del nostro account di supporto Ledger condiviso in merito agli aggiornamenti del firmware Ledger. Purtroppo, nel nostro tentativo di chiarire come Ledger e tutti i portafogli funzionano con il firmware, un agente dell’assistenza clienti ha pubblicato un tweet con una formulazione confusa.
L’abbiamo cancellato perché non vogliamo che le persone continuino a essere confuse da questa situazione e lo stiamo sostituendo con thread di Tweet che affrontano tutte le domande e i dubbi più frequenti nel modo più comprensibile e accurato possibile.”
In pratica, il tweet cancellato affermava che era “possibile” per Ledger scrivere un firmware in grado di estrarre le chiavi private degli utenti. Tale frase ha acceso la polemica tra gli utenti, che ne hanno voluto sottolineare l’importanza attraverso dei tweet come segue:
“Nov 2022: un aggiornamento del firmware non può estrarre le chiavi private dal Secure Element – Ledger
Maggio 2023: Tecnicamente parlando è ed è sempre stato possibile scrivere un firmware che faciliti l’estrazione delle chiavi – Ledger
@Ledger Ora capite il problema?”
A chiarire la situazione confusa ci ha poi pensato Charles Guillemet, chief technology officer di Ledger, in una carrellata di tweet.
Ledger: il CTO del crypto hardware wallet chiarisce la questione sul firmware
Con ben 29 tweet, il CTO di Ledger, Charles Guillemet, ha voluto chiarire il tutto, descrivendo come il firmware o il sistema operativo (OS) del portafoglio richiede il consenso dell’utente ogni volta che “una chiave privata viene toccata dall’OS”.
In altre parole, il sistema operativo non dovrebbe essere in grado di copiare la chiave privata del dispositivo senza il consenso dell’utente, sebbene Guillemet abbia anche affermato che l’utilizzo di Ledger richiede “una quantità minima di fiducia”.
Ecco parte del tweet:
“Come si applica a un portafoglio hardware? Quando si configura un portafoglio hardware, quest’ultimo (nel caso di Ledger, il suo chip Secure Element, che utilizza hardware progettato per la sicurezza e la casualità) genera casualmente un numero molto grande (256 bit). Questo numero può essere reso leggibile all’uomo (24 parole) grazie allo standard BIP-39. Questa è la frase segreta di recupero. È ciò che si scrive e che non si deve MAI condividere con nessuno, compreso Ledger. Ledger non può accedervi, nemmeno se si utilizza Ledger Recover.”
Guillemet aggiunge poi che il firmware, o OS, del portafoglio è “una piattaforma aperta”, nel senso che “chiunque può scrivere la propria app e caricarla sul dispositivo”.
Prima di essere ammesse sul software Ledger Manager, però, le app vengono prima valutate dal team, per assicurarsi che non siano dannose e non presentino falle nella sicurezza.
La nuova funzionalità Ledger Recover
I primi sospetti sul firmware di Ledger sono arrivati con l’introduzione recente di una nuova funzionalità per il Nano X, il Ledger Recover.
In pratica, gli utenti consentono all’azienda di attivarsi per poter recuperare la frase seed, e cioè quella “frase di recupero” che consente di recuperare il wallet.
Chi volesse accedere al Ledger Recover, dovrebbe procedere con l’aggiornamento del firmware sul suo Ledger Nano X, che di fatto avvierebbe il processo di segmentazione, crittografia ed invio del suo seed a terza parti da lui sconosciute.
Con questa funzionalità, i primi utenti hanno sollevato sospetti sulla sicurezza del hardware crypto wallet, dato che se l’accesso al backdoor del seed è possibile aprirla a lui, diventa vulnerabile anche agli attacchi hacker.
Il presente chiarimento di Guillemet dovrebbe proprio chiarire anche questi scompensi sulla sicurezza del crypto hardware wallet.
