Kraken专家发现了Ledger Nano X硬件钱包中的漏洞

Kraken Security Labs的网络安全专家已经确定了两种新型攻击，它们对流行的Ledger Nano X硬件钱包的所有者构成了潜在危险。

*新* Kraken安全实验室已经确定了可能危害@Ledger Nano X所有者安全的供应链攻击。

如果#ledgernanox要在运输过程中被拦截或从恶意经销商处购买，则可能会发生攻击。 https://t.co/UJkO7KGbA6 —Kraken交易所（@krakenfx）2020年7月8日

在披露之前发现的有关漏洞的信息已转移到钱包制造商。 Ledger说，这些问题已通过新的固件更新得到解决。

谢谢@krakenfx的精彩报告。 用户的安全是我们的首要任务。 请放心，＃Ledger Nano X上的#crypto仍然安全。 它的安全性取决于安全元件，而不是MCU芯片。 我们使用最新的固件更新对此进行了修补：https：//t.co/z6skQbQE0J

-Ledger（@Ledger）2020年7月8日

对于那些在最终用户将其接收之前落入攻击者手中的设备而言，就会产生风险。 这可能在交付过程中发生，也可能是不道德的零售商采取行动的结果。 攻击使您可以访问与钱包连接的计算机，并在其上安装恶意软件以窃取资产。 在第一种情况下，称为Bad Ledger，攻击者可以利用缺乏额外保护的优势来更改处理器固件。 结果，钱包开始充当与键盘相当的输入设备，从而允许将任意命令传输到计算机。 在Ledger Nano X中，提供了默认的调试模式，该模式在安装第一个应用程序（例如，比特币钱包）后将被禁用。 但是，在此之前，攻击者可能会重写处理器固件。 下面的视频显示了将“受感染”的Ledger Nano X连接到笔记本电脑后，如何开始用作键盘并打开Kraken网站。 https://youtu.be/BZnflNZB3bw在第二种情况下，称为盲人账本，攻击者可以利用钱包处理器的不安全性来关闭其显示。 在社会工程学的帮助下，这可能是攻击的要素。 被“感染”的Ledger Nano X关闭了屏幕，并说服了潜在的受害者按下按键组合以批准恶意交易。 为了避免出现这种情况，Kraken建议用户仅从制造商的授权经销商处购买硬件钱包，并检查设备本身的所有交易，尤其要注意非典型行为。 回想一下，早前，Kraken Security Labs的专家发现Trezor硬件钱包中存在一个严重漏洞，这打开了在15分钟内提取种子短语的可能性。 在Twitter上关注ForkLog！

—-

原文链接：https://forklog.com/eksperty-kraken-obnaruzhili-uyazvimosti-v-apparatnyh-koshelkah-ledger-nano-x/

原文作者：Roman Petrov

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。