Ledger製ハードウォレットに新たな脆弱性が見つかる

by BITTIMES

仮想通貨のハードウェアウォレットの製造元であるLedgerは、セキュリティ強化などを目的としたファームウェア1.4.1のアップデートをリリースしました。「Ledger Nano S」の脆弱性を発見した15歳のセキュリティ研究者であるSaleem Rashid氏はユーザーに対して、ファームウェアを更新することを強く推奨しています。

Rashid氏は、Ledger製ハードウェアウォレットに採用されていたマイクロコントローラに問題があったことを発表してしており、具体的な問題点を次のように説明しています。

「ボタンとディスプレイを使用してデータを入力できるようにしましたが、Secure Element(SE)のプロキシとして接続されていました。
後者には秘密鍵が含まれていたため、ハッカーは様々な方法でSEを欺くことができました。」

「小売業者と再販業者は、マイクロコントローラのファームウェアを変更することができるため、SEとのアイデンティティを検証することができます。さらに攻撃者はユーザーインターフェイスを制御し、悪意のあるコードを使用してランダム性をゼロに設定し、自分の選択した回復型シードを追加することができます。」

「攻撃者はこの脆弱性を悪用して、ユーザーがデバイスを受け取る前にデバイスを侵害したり、物理的に、または一部のシナリオではリモートからでも秘密鍵を盗むことができます。」

Ledgerは、透明性と責任ある公開プロセスに従って、3人のセキュリティ研究者によって報告された、Firmware 1.4が修正した固定攻撃ベクトルの詳しい評価を行っています。

これらの技術的な詳細が公開されるとパッチの適用されていないデバイスの脅威レベルが上昇する可能性があるため、ユーザーにはファームウェアを更新することが強く推奨されています。

Rashid氏は、Ledgerに研究結果を送った後に、Ledgerチームがその欠陥を真剣に受け止めていないことを知ったとも語っています。
Ledgerは3月6日にファームウェアのアップデートを公開しましたが、Rashid氏は「脆弱性が顧客に適切に説明されない」と批判しています。

(引用元:Ledger公式/saleemrashid.com

この記事が気に入ったら
いいね!しよう

関連のある仮想通貨ニュース

注目度の高い仮想通貨ニュース

仮想通貨ニュース週間まとめ|3月25日〜31日

仮想通貨ニュース週間まとめ|3月25日〜31日

RippleがHyperledger Projectに参加

RippleがHyperledger Projectに参加

金融庁がBinanceを違法業者として正式に公表

金融庁がBinanceを違法業者として正式に公表

カルダノエイダコイン(Cardano/ADA)がHuobi(フオビ)に上場

カルダノエイダコイン(Cardano/ADA)がHuobi(フオビ)に上場

Sirin Labsのスマホ開発に新たなサポート会社?

Sirin Labsのスマホ開発に新たなサポート会社?

富士通がベルギーにブロックチェーン研究センターを開設

富士通がベルギーにブロックチェーン研究センターを開設

コインチェックに新たな損害賠償請求|総額約8200万円

コインチェックに新たな損害賠償請求|総額約8200万円

ネム(NEN/XEM)のカタパルトベータ版がリリース

ネム(NEN/XEM)のカタパルトベータ版がリリース

4月12日に多くの仮想通貨が高騰|待望の第二ラウンド開始か?

4月12日に多くの仮想通貨が高騰|待望の第二ラウンド開始か?

仮想通貨イベントスケジュール|2018年4月

仮想通貨イベントスケジュール|2018年4月

スマートコントラクトがテネシー州で法的に承認される

スマートコントラクトがテネシー州で法的に承認される

カルダノ・エイダコイン(Cardano/ADA)とは?

カルダノ・エイダコイン(Cardano/ADA)とは?

仮想通貨ニュース | 新着記事一覧

人気のタグから探す

人気のタグから探す