![Πώς να διορθώσετε το Safari που δεν λειτουργεί σε Mac](/f/66593a28d6a066e964c8c03648bd205a.jpg?width=100&height=100)
Όλοι γνωρίζουμε πολύ καλά ότι τα κρυπτονομίσματα μπορούν να αποθηκευτούν σε μια μεγάλη ποικιλία ιστότοπων. Μπορούμε να τα έχουμε στις πύλες ανταλλαγής (η επιλογή δεν συνιστάται), σε ένα πορτοφόλι στον υπολογιστή μας (συνιστάται αλλά με αντίγραφο ασφαλείας) και μπορούμε επίσης να τα αποθηκεύσουμε εκτός σύνδεσης σε συσκευές παρόμοιες με τις μνήμες USB. Ωστόσο, τώρα σύμφωνα με τις τελευταίες αναφορές, ένα 15χρονο αγόρι κατάφερε να χαράξει ένα «αβάσιμο» πορτοφόλι κρυπτογράφησης.
Τα κρυπτονομίσματα μπορούν να αποθηκευτούν σε μεγάλη ποικιλία ιστότοπων. Μπορούμε να τα έχουμε στις πύλες ανταλλαγής (η επιλογή δεν συνιστάται), σε ένα πορτοφόλι στον υπολογιστή μας (συνιστάται αλλά με αντίγραφο ασφαλείας) και μπορούμε επίσης να τα αποθηκεύσουμε εκτός σύνδεσης σε συσκευές παρόμοιες με τις μνήμες USB. Μια εταιρεία που ισχυρίστηκε ότι έχουν κρυπτογραφημένα πορτοφόλια (συσκευή USB εκτός σύνδεσης) που δεν ήταν hackable, μόλις είδε πώς ένα 15χρονο παιδί τους έχει αφήσει ως αποδεικτικά στοιχεία.
Η εταιρεία ονομάζεται Ledger και είναι γαλλική. Πάντα θεωρούσαν ότι το υλικό τους για την αποθήκευση κρυπτονομισμάτων είναι τόσο ασφαλές που κανείς δεν μπορεί να τα καταστρέψει χωρίς να το καταλάβουν οι ιδιοκτήτες τους. Γι 'αυτό, χρησιμοποιούν μια τεχνική που ονομάζεται Anonymous Attestation, ή anonymous δήλωσης, η οποία δημιουργεί ασήμαντες υπογραφές, ώστε να εκτελείται μόνο εγκεκριμένος κωδικός. Το 2015, η εταιρεία είπε ότι ήταν αδύνατο για έναν εισβολέα να αντικαταστήσει το υλικολογισμικό και να το περάσει μέσω της διαδικασίας δήλωσης χωρίς να γνωρίζει το ιδιωτικό κλειδί του Ledger.
Ωστόσο, ένας 15χρονος από το Ηνωμένο Βασίλειο έδειξε ότι αυτό δεν ισχύει. Το αγόρι, με το όνομα Saleem Rashid, εξήγησε πώς λειτουργεί μια πίσω πόρτα που βρίσκεται στο Ledger Nano S, η οποία αξίζει 100 $ και η εταιρεία ισχυρίζεται ότι έχει ήδη πουλήσει εκατομμύρια. Λειτουργεί επίσης με το Ledger Blue, παρά το υψηλό και κοστίζει 200 $.
Η πίσω πόρτα έχει μόνο 300 bytes και αναγκάζει τη συσκευή να δημιουργήσει προεπιλεγμένες διευθύνσεις πορτοφολιού και κωδικούς πρόσβασης που είναι γνωστοί στον εισβολέα. Έτσι, ο εισβολέας μπορεί να εισαγάγει τον κωδικό πρόσβασης στο πορτοφόλι για να ανακτήσει τα κλειδιά που αποθηκεύει η παλιά συσκευή για αυτές τις διευθύνσεις. Με αυτόν τον τρόπο, εάν προσπαθήσουμε να στείλουμε χρήματα σε άλλο άτομο, ένας εισβολέας μπορεί να αλλάξει τη διεύθυνση και να βάλει τη δική του, καθώς και να αλλάξει το ποσό. Το exploit επιτρέπει όλα αυτά να γίνουν ενώ παράλληλα έχει φυσική πρόσβαση στη συσκευή.
Η εταιρεία κυκλοφόρησε μια ενημέρωση πριν από δύο εβδομάδες για το Nano S, και ισχυρίζονται ότι η ευπάθεια δεν ήταν κρίσιμη και ότι η επίθεση δεν επέτρεψε την εξαγωγή των ιδιωτικών κλειδιών, στα οποία ο Ράσιντ απάντησε ότι το τελευταίο ήταν ψέμα.
Ο Rashid δεν έχει ακόμη δοκιμάσει εάν η μέθοδος λειτουργεί σε ήδη διορθωμένες συσκευές. Ωστόσο, λέει ότι ένα βασικό μέρος του σχεδιασμού υλικού του Ledger καθιστά πολύ πιθανό ότι με μια απλή τροποποίηση μπορεί να γίνει ξανά για να λειτουργήσει. Το σύστημα εκμεταλλεύεται μια ευπάθεια που υπάρχει στον τρόπο με τον οποίο οι μικροελεγκτές επικοινωνούν μέσα σε αυτό.
Ένας καθηγητής του Πανεπιστημίου John Hopkins, ο Matt Green, εξέτασε την ανάρτηση του Rashid και πιστεύει ότι είναι πολύ δύσκολο για την ενημέρωση που κυκλοφόρησε αυτόν τον μήνα να λύσει την ευπάθεια. Το τσιπ ασφαλείας δεν μπορεί να γνωρίζει τον κωδικό που εκτελείται στον επεξεργαστή, επομένως πρέπει να ρωτήσετε τον ίδιο τον επεξεργαστή και να "εμπιστευτείτε" ότι είναι νόμιμος.
Λοιπόν, τι πιστεύετε για αυτό; Απλώς μοιραστείτε όλες τις απόψεις και τις σκέψεις σας στην παρακάτω ενότητα σχολίων.