В аппаратных кошельках Ledger обнаружена уязвимость, которая может использоваться для взлома всех выпущенных компанией устройств.
Согласно сообщению портала Docdroid [PDF], атака типа «человек посередине» (прим. – перехват данных) может быть осуществлена, когда пользователь пытается создать новый адрес для получения биткоинов в кошельке Ledger. Если компьютер, используемый в процессе, заражён зловредным ПО, хакер может тайно подменить код генерации адреса, что позволит ему получать все переводы на собственный кошелёк.
К счастью, пользователи кошельков Ledger могут защитить себя от этой атаки. Для этого им необходимо воспользоваться «незадокументированной» функцией, с помощью которой адрес получателя можно вывести на дисплей устройства.
Нажимая на кнопку в виде монитора в меню получения перевода и проверяя появляющийся на дисплее устройства адрес, пользователи могут убедиться в его корректности.
Составители отчёта отмечают, что эта проверка не является обязательной согласно документации Ledger.
Кроме того, данная функция распространяется только на получение биткоинов. Принимая на свой кошелёк Ethereum, пользователь не имеет возможности вывести адрес на дисплей устройства. Чтобы избежать взлома при работе с Ethereum, Docdroid предлагает загружать операционную систему при помощи Live CD, пока компания не предложит другое решение.
Напомним, что ранее пользователи аппаратных кошельков Ledger стали жертвами злонамеренных продавцов с eBay.
