changfu001硬件钱包制造商Ledger最近发布了一个固件更新,来修复部分安全漏洞。据悉,该漏洞是由三名白帽安全研究人员发现了这些漏洞,其中还包括一名叫萨利姆•拉希德(Saleem Rashid)的十五岁英国男孩。他发现,攻击媒介是基于硬件,且不限于Ledger设备,因此难以单独通过软件来完全解决。
安全研究员发现漏洞
3月20日,Ledger发布了固件更新1.4.1,并且附上了一篇博客文章,其中他们承诺将深入探讨安全问题。
“在透明和负责的信息披露流程之后,我们对固件1.4补丁的固定攻击媒介进行了全面详细的评估,该问题最初是由三位安全研究人员报告的。由于这些技术细节的发布可能会提升未修补设备的威胁级别,因此我们强烈建议用户更新固件。”
虽然萨利姆•拉希德年龄很小,但他对挖掘漏洞的细节了如指掌,并且详细解释了自己如何发现相关问题的:
“攻击者可以利用这个漏洞在用户接收设备之前破坏设备,或者在设备上窃取物理私钥,有些情况下,还可以远程窃取私钥。我已经在Ledger Nano S钱包上演示了这种攻击。此外,我已经在几个月前将源代码发给了Ledger,以便他们能够修复它。Ledger的设备很容易就能打开,甚至用指甲就能撬开它(篡改它)。”
白帽黑客放弃赏金
Leger公司曾表示,安全研究人员会被要求签署赏金奖励计划,这样在发现漏洞之后就能获得报酬。同时,他们也指出这一举措并不会妨碍研究人员发布自己的安全报告。在该公司发布的文章措词中,暗示三位安全研究人员都乐意遵守这项协议,但事实似乎并非如此。实际上,萨利姆•拉希德已经放弃了他的赏金奖励,并解释说:
“我没有收到Ledger公司的酬金,因为这一协议可能会阻止我发布这份技术报告。此外,Ledger首席执行官Eric Larchevêque在Reddit论坛上也发表了一些技术上不准确的评论。出于这个原因,我开始担心这些漏洞不会被正确地解释给用户。”
萨利姆•拉希德认为,Ledger公司试图淡化该漏洞的严重性,因此他决定放弃获得奖励的权利。
