Ledger Alım Adres Saldırısı Duyurusu ve Raporu

Hardware kripto para cüzdanı üreticisi Ledger, 3 Şubat Cumartesi günü yayınlanan bir raporu Twitter’dan duyurdu.Rapor saldırıdan nasıl korunulabileceğini açıklıyor.


Ledger Alım Adres Saldırısı


Genel Bakış


Kripto para cüzdanları, para harcamak için gizli bir anahtar ve fonları almak için açık bir anahtardan oluşur. Modern müşteriler genellikle her işlemden sonra yeni bir adres alırlar.

Bu, kullanıcının fonunu, birden fazla adrese yaymak yerine, kullanıcının gizliliğini daha iyi korumak için yapılır.

Alınan adresler normalde otomatik olarak oluşturulur ve m-cüzdan sahibine şeffaftır.


Saldırı

Ledger cüzdanları, ana makine üzerinde çalışan JavaScript kodunu kullanarak görüntülenen alım adresini üretir.

Bu, kötü amaçlı bir yazılımın, alım adresini oluşturmaktan sorumlu olan kodun ürettiği adresi kendi adresiyle değiştirmesi ve gelecekteki tüm hesapların saldırgana gönderilmesi anlamına gelir.

Alım adresleri, m-cüzdanın olağan faaliyetinin bir parçası olarak sürekli değiştiğinden, kullanıcının alım adresinin bütünlüğünü doğrulamanın mümkün olduğu (adresi tanımak gibi) bir yolu yoktur.Bildiği kadarıyla, görüntülenen alma adresi onun gerçek alım adresidir.


Bunu kötüleştiren şey nedir?

- Tüm ledger cüzdanlarda  yazılım AppData klasöründe bulunur;yani izinsiz bir kötücül yazılım  bile onları değiştirebilir (idari hakları kazanmaya gerek yoktur).

- Ledger cüzdanı, kaynak dosyalara herhangi bir bütünlük kontrolü / karıştırılma karşıtlığı uygulamaz; bu da herkes tarafından değiştirilebilir anlamına gelir.

- Kötü amaçlı yazılımların yapmaları gereken tek şey, ledger yazılımındaki bir satırlık kodu değiştirmektir ki bu 10 satırdan az python kodu ile başarılabilir.

-Yeni Ledger kullanıcıları, genellikle tüm fonlarını başlangıç durumuna geçirdikten sonra cüzdan'a gönderirdi.Makineye önceden etkilenmişse, bu ilk işlem tehlikeye girebilir ve kullanıcının tüm fonlarını kaybetmesine neden olabilir.

- Saldırı sonucunda, kendi alım adresini değiştirerek otomatik olarak üretilen QR'yi bile saldırganın adresiyle güncelleştirilebilir.Yani, adresin hem dizgesinin hem de QR temsilciliklerinin ele geçirilebileceği anlamına geliyor.



Kavram ispatı

Dosyayı açın:

C:Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultExtensions%EXTENSION_ID%%EXTENSION_VERSION%srcwalletwallet.js


Satırı şu kod ile değiştirin :

return (_ref = this.wallet.cache) != null ? _ref.get(this.getCurrentPublicAddressPath()) : void 0;

ve

Bir sonraki para alımızda tüm para MY_MALICIOUS_ADDRESS adresine gönderilecektir.


Önlem

Tam olarak doğrulanmamış bir yenilik alım adresin bütünlüğünü doğrulamaya yardımcı olabilir.Alım ekranının sağ alt kısmında küçük bir monitör düğmesi var.


Bu düğmeye basarak, alınan adresin donanım cüzdanının ekranında görünmesini sağlarsınız.


Bu, adresin geçerli olduğunu ve müdahale edilmediğini doğrulamak için kullanılabilir.


Bu işlemin varsayılan alma işleminin bir parçası olmadığını ve cüzdan tarafından zorlanmadığını unutmayın.


Uygun bir çözüm, kullanıcıyı her alım işleminden önce alma adresini doğrulamaya zorlamaktır,tıpkı cüzdan kullanıcıyı her gönderme işlemini onaylamaya zorlamak gibi.

Ayrıca, belgelenmemiş özellik yalnızca Bitcoin Uygulamasında bulunmaktadır.


return "MY_MALICIOUS_ADDRESS";


Ethereum App (ve muhtemelen diğer uygulamaların da) herhangi bir önlemi yoktur; kullanıcının, alım adresine müdahale edilip edilmediğini doğrulamak için herhangi bir yol yoktur.


Mevcut Ledger Müşterilerine Tavsiye


Bitcoin Uygulamasını kullanıyorsanız - Her alım işleminden önce, monitör düğmesini kullanarak adresin bütünlüğünü doğrulayın.


Ethereum Uygulamasını kullanıyorsanız - Ledger  hardware cüzdanını diğer yazılım tabanlı cüzdanlarla aynı işi yapın ve yalnızca kötü amaçlı yazılımdan arındırılmış oluduğu garanti edilen bir Live CD işletim sisteminde kullanın.En azından bu duruma  bir takım çözümler gelene kadar.



Mesul Bilgilendirme


Maalesef, Ledger'ın açık bir güvenlik açıkları programı yok.

Yine de sorunu düzeltmek için, Genel Müdür'ün ve Ledger'in CTO'su ile temasa geçtik. Saldırı detaylarını anlatan belgeler teslim etmemizi isteyen bir cevap aldık. O zamandan beri,  3 hafta boyunca  hemen hemen tüm maiiler göz ardı edildi, nihayetinde bir düzeltme / değişiklik yapılmayacak cevabını aldık.


Zaman çizelgesi:

4 Ocak, 2018 - Genel bilgi ile ilk irtibat.

4 Ocak, 2018 - Ledger CTO, güvenlik açığının tüm detaylarını talep etti. 4 Ocak, 2018 - Tam Detay gönderildi.

10, Ocak, 2018 - Bir güncelleme istedik, cevap yok.

13, Ocak, 2018 - Yine, yanıt değil, bir güncelleme istedik.

27 Ocak, 2018 - Ledger CTO, herhangi bir düzeltme / değiştirme yapılmayacağını söyledi (kullanıcıyı kabul adresinde doğrulamak için zorladığımız tavsiyesi reddedildi), ancak halkın bilgisini artırmaya çalışacaklar, böylece kullanıcılar kendilerini saldırılardan koruyacak.


18-02-2018 19:22

kripto para Bitcoin