Аппаратный кошелек, предназначенный для хранения криптовалют и рекламируемый производителем как защищенный от несанкционированного доступа, был взломан 15-летним жителем Британии.
Как пишет в своем блоге взломавший устройство Салим Рашид, ему удалось написать код, который предоставил бэкдор-доступ к Ledger Nano S, устройству стоимостью 100 долларов, которое купили миллионы людей по всему миру. Британец утверждает, что это позволит злоумышленнику опустошить кошельки пользователей.
Разработчики устройства утверждают, что уже выпустили исправление этого недостатка. Однако есть основания полагать, что этот баг также затрагивает и другую модель — Nano Blue.
«Патч для Nano Blue придется подождать несколько недель», — заявил представитель компании.
В феврале мы также сообщали о критической уязвимости в аппаратном криптокошельке Ledger. С помощью этой дыры злоумышленник может похитить криптовалюту пользователей, подменив кошелек получателя.
Уязвимость можно использовать в момент подключения Ledger к Сети для того, чтобы отправить средства или загрузить адрес получателя. Поскольку Ledger-кошельки создают отображаемый адрес с помощью JavaScript, вредоносная программа может подменить их кошельком злоумышленника. Таким образом реализуется атака типа «Человек посередине» (Man-in-the-Middle Attack).
