logo
  • Tin tức
  • Nổi bật
  • Coin68 TV
  • Kiến Thức
  • E-Magazine
  • Góc nhìn
  • Nổi bật
  • Coin68 TV
  • Kiến Thức
  • E-Magazine
  • Góc nhìn

Ledger cho rằng lỗ hổng bảo mật ví mới bị phát hiện không quá nghiêm trọng

-29/12/2018

Nhà sản xuất ví cứng tiền điện tử Ledger trấn an người dùng rằng những lỗ hổng bảo mật mới bị chỉ ra gần đây là không nghiêm trọng, theo một bài đăng trên Medium vào ngày 28/12.

Trước đó, tại Hội nghị 35C3 tổ chức tại Berlin (Đức) vào ngày 27/12, một nhóm nghiên cứu đằng sau dự án “Wallet.fail” xác nhận họ có thể hack được các ví Trezor One, Ledger Nano S và Ledger Blue.

Ví Ledger không còn “bảo mật”?

Cụ thể, nhóm này cho biết là họ có thể cài được bất kì firmware nào lên ví Ledger Nano S và chơi được trò “Rắn săn mồi” trên đó. Đồng thời, họ cũng cho rằng:

“Chúng tôi có thể gửi giao dịch độc hại đến ST31 [ví bảo mật] và thậm chí có thể xác nhận nó [thông qua phần mềm bên ngoài], hoặc có thể tạo một giao dịch giả và hiển thị nó lên màn hình.”

Bên cạnh đó, nhóm nghiên cứu cũng phát hiện một lỗ hổng trên ví Ledger Blue – ví tiền điện tử cao cấp nhất của Ledger ở hiện tại, với màn hình màu có cảm ứng. Tín hiệu sẽ được truyền từ bo mạch chủ đến màn hình thông qua một chuỗi quá trình quá dài và bị rò rỉ ra bên ngoài dưới dạng sóng radio.

Khi thiết bị được gắn với cáp USB, tín hiệu bị rò rỉ ra sẽ mạnh đến mức có thể bắt được từ khoảng cách vài mét.

Sử dụng một phần mềm AI trên đám mây, nhóm nghiên cứu này tuyên bó có thể lấy được mã PIN của thiết bị ngay khi có người nhập đúng mật khẩu vào ví.

Lí giải từ Ledger

Tuy nhiên, trong bài viết phản ứng lại trước phát hiện trên, Ledger giải thích là có vẻ “đã có 3 cách tấn công khiến đây cho ta cảm giác của một lỗ hổng nghiêm trọng, song thực tế không phải như vậy”.

Đối với Ledger Nano S, những nhà nghiên cứu đã không thể trích xuất được seed hay là PIN của ví, và “các tài sản nhạy cảm chứa trong đó vẫn an toàn”.

Theo công ty, lỗ hổng này “cho thấy việc thay đổi một cách vật lý ví Nano S và cài đặt malware lên máy PC của nạn nhân có thể giúp kẻ tấn công làm giả giao dịch chỉ khi người dùng đã nhập mã PIN vào và mở ứng dụng Bitcoin lên”.

Điều này, theo Ledger, là “không thực tiễn, và một tên hacker khôn ngoan sẽ chọn những phương thức khác hiệu quả hơn”. Còn về khẳng định có thể gửi giao dịch độc hại đến chip ST31 và xác nhận nó, Ledger hoàn toàn phủ nhận thông tin trên.

Lỗ hổng của Ledger Blue cũng được nhà sản xuất ví cứng này cho là “không thực tiễn”, bởi “ví trị của thiết bị nhận tín hiệu và thiết bị bị xâm nhập phải gần như kế cận, nhau, đồng thời cáp USB cũng phải được dựng thẳng đứng lên, vì nó đóng vai trò như một ăn ten phát sóng”.

“Nếu những điều kiện này không được thoả mãn thì AI sẽ không thể nào đọc và lọc được các thông tin cần thiết,” bài blog viết, đồng thời đi đến kết luận:

“Một phương án hiệu quả hơn sẽ là giấu một chiếc camera trong phòng và ghi lại cảnh người dùng nhập mã PIN.”

Dù vậy, vì những nguy cơ từ lỗ hổng này, Ledger cho biết lần cập nhật sắp tới cho Ledger Blue sẽ bao gồm tính năng ngẫu nhiên hoá bàn phím nhập số PIN.

Còn ví Trezor thì sao?

Về phần Trezor One, đội ngũ đằng sau “Wallet.fail” cho biết đã có thể lấy được private key của ví sau khi ghi đè lên đó một firmware đặc biệt. Tuy nhiên, lỗ hổng này chỉ có thể được sử dụng nếu người dùng không cài sẵn mật khẩu passphrase.

Ngay sau đó, Pavol Rusnak, CTO của SatoshiLabs (công ty phát triển ví Trezor), thông báo tren Twitter là nhà sản xuất ví này sẽ nhanh chóng khắc phục lỗ hổng trên bằng một cập nhật vào cuối tháng 1.

Khi được hỏi về Bitfi – ví cứng tiền điện tử từng được John McAfee quảng bá là “bất khả xâm phạm”, nhóm nghiên cứu trên cho biết “chúng tôi chỉ bàn đến những ví tiền điện tử an toàn bây giờ, không muốn đề cập đến một chiếc điện thoại có xuất xứ từ Trung Quốc”.

Theo CoinTelegraph

-29/12/2018
logo-footer
Kết nối với chúng tôi
    Coin68 là cổng thông tin tiền mã hóa bằng tiếng Việt nhanh nhất và chính xác nhất, mang lại cho độc giả cái nhìn tổng quan về lĩnh vực tiền mã hóa và tiến bộ công nghệ blockchain trên toàn cầu.
      Copyright © 2016 by Coin68