Ledger: Заявления Wallet.fail об уязвимостях кошельков Ledger не отвечают действительности

Ledger: Заявления Wallet.fail об уязвимостях кошельков Ledger не отвечают действительности

Шоу команды Wallet.fail с уязвимостями аппаратных кошельков не осталось незамеченным. Ledger, как одна из компаний, чьи устройства были задействованы в презентации, выступила с ответным заявлением. В котором, в частности, утверждает, что высказывания исследователей об уязвимостях в значительной степени являются преувеличением, а сами они поступили не слишком этично.

«Дмитрий Недоспасов, Томас Рот и Джош Датко выступили с презентацией Wallet.fail… в которой в частности были продемонстрированы три модели атаки на кошельки Ledger, — отмечает компания. — Могло сложиться впечатление, что в устройствах Ledger найдены критические уязвимости. Это не соответствует действительности».

Далее компания отмечает, что, занимаясь вопросами безопасности профессионально, может только приветствовать тот факт, что люди пытаются проверить надежность созданных ею продуктов на практике.

«Это способ повысить безопасность. Но в мире экспертов по безопасности существуют ответственность и соответствующая процедура обнаружения уязвимости. Например, об уязвимости принято открыто сообщать только тогда, когда она уже устранена, чтобы не подвергать риску пользователей». Для этих целей у компаний существуют специальные баунти-программы, есть такая и у Ledger.

Однако игнорирование принятой процедуры — это полбеды. Ledger заявляет, что исследователи выдали желаемое за действительное, преувеличив свои успехи и значение обнаруженных ими недочетов.

В случае с Ledger Nano S команда Wallet.fail продемонстрировала физическую модификацию устройства, которая вместе с установкой шпионской программы на компьютер жертвы может позволить находящемуся неподалеку злоумышленнику удаленно прописать транзкцию после того, как пользователь введет PIN и запустит приложение на компьютере. По мнению специалистов Ledger, это слишком сложный и непрактичный путь. Хакеры, в отличие от исследователей, предпочитают более эффективные методы, например, просто поставить скрытую камеру, чтобы заснять момент ввода PIN пользователем было бы проще и эффективнее.

Перехват PIN Ledger Blue также назван «не вполне реалистичным и практичным». Избранный исследователями подход сам по себе довольно интересен, но с трудом применим в реальных условиях, считают в Ledger. Та же скрытая камера в комнате сработает гораздо надежнее и эффективнее.

Заявление заканчивается призывом к энтузиастам сотрудничать с компаниями в рамках баунти-программ и придерживаться общепринятых процедур раскрытия уязвимостей, в том числе чтобы не сеять панику среди пользователей.

Источник

Интересное по теме