hotrong.hung
New member
, Ledger đã phát hiện tối đa 5 lỗ hổng bảo mật trong các thiết bị ví phần cứng của mình, theo một bài đăng trên blog được công bố vào ngày 11/03.
Các lỗ hổng được phát hiện bởi phòng thí nghiệm tấn công của công ty, chịu trách nhiệm hack vào các thiết bị của riêng mình và các đối thủ cạnh tranh để cải thiện bảo mật.Ledger cho biết họ đã chia sẻ tất cả những phát hiện của mình về các lỗ hổng trong ví một và mô hình T với các nhà sản xuất và đã quyết định tiết lộ thông tin cho cộng đồng người dùng sau khi thời gian tiết lộ kết thúc.
Vấn đề đầu tiên liên quan đến giả mạo vật lý với thiết bị.Theo nhóm Ledger, ví có thể bị xâm phạm trước khi đến người mua bằng cách truy cập vào một cửa hàng backdoor trên thiết bị với phần mềm độc hại và sau đó dán lại hộp bằng hình ba chiều giả.Ledger nói rằng lỗ hổng này chỉ có thể được giải quyết bằng cách thay đổi thiết kế của ví, cụ thể là một trong những thành phần cốt lõi chứa chip phần tử an toàn.
Vào tháng 11 năm 2018, chính công ty đã đưa ra một cảnh báo về một thực thể của bên thứ ba đang bán các bản sao giả của ví của mình.Các ví giả chủ yếu có nguồn gốc từ Trung Quốc và công ty khuyến nghị người dùng chỉ đặt hàng ví từ trang web chính thức của mình.
Tuy nhiên, sổ cái tuyên bố rằng ngay cả khi mua ví từ trang web chính thức, không có gì đảm bảo rằng nó không bị giả mạo, vì một kẻ tấn công có thể đặt hàng một số ví, thỏa hiệp chúng qua cửa sau, hãy niêm phong chúng để chúng xuất hiệnMới, và sau đó trả lại cho công ty để được hoàn lại tiền.Kẻ tấn công sau đó có thể bán các ví bị xâm phạm cho các khách hàng khác.
Thứ hai, nhóm Hacker Ledger, nói rằng họ có thể đoán được pin của ví bằng cách sử dụng phương pháp tấn công kênh bên.Thông tin này đã được chia sẻ với nhà sản xuất ví vào tháng 11 năm 2018 và được giải quyết trong bản cập nhật 1.8.0.
Các lỗ hổng thứ ba và thứ tư, cả hai liên quan đến việc sử dụng chip phần tử an toàn, liên quan đến rò rỉ dữ liệu từ thiết bị.Ledger nói rằng kẻ tấn công chỉ cần giữ một ví hoặc một mô hình T để trích xuất dữ liệu từ bộ nhớ flash và kiểm soát tất cả các tài sản được lưu trữ trên đó.
Lỗ hổng cuối cùng liên quan đến mô hình bảo mật và mã hóa của một ví.Theo sổ cái, thư viện của một ví không có đủ các biện pháp tấn công chống phần mềm.Một hacker sẽ chỉ cần đánh cắp ví để có được một khóa bí mật bằng phương pháp tấn công kênh bên, mặc dù ví của công ty hiện đang miễn dịch với thủ thuật này.
Vào tháng 11 năm 2018, một nhóm nghiên cứu tại Hội nghị 35C3 đã chứng minh rằng họ có thể hack vào một, Ledger Nano S và Ledger Blue Wallets.Cả nhóm nghiên cứu và sổ cái đều xác nhận các lỗ hổng này, nhưng trong khi trước đây phải phát hành bản cập nhật phần mềm cho người dùng, Ledger nói rằng các lỗi trên không quá nghiêm trọng đối với ví của nó.
Dưới đây là một số bài viết liên quan để bạn tham khảo:
* [Ledger cảnh báo về ví giả đang được bán trực tuyến] (https://www.coindesk.com/ledger-warns-of-fake-wallets-being-sold-online)
* [Bản vá sổ cái lỗ hổng tấn công kênh bên] (https://www.coindesk.com/ledger-patches-side-channel-attackability)
* [Sedger Nano X Đánh giá: Một người thách đấu mới bước vào thị trường ví phần cứng] (https://www.coindesk.com/ledger-nano-x-review-a-new-challenger-Enters-the-hardware-wallet-market)
=======================================
, Ledger has detected up to 5 security vulnerabilities in its hardware wallet devices, according to a blog post published on 11/03.
The vulnerabilities were discovered by the company's Attack Lab, which is responsible for hacking into its own devices and those of competitors in order to improve security. Ledger said it has shared all of its findings on the vulnerabilities in the ONE and Model T wallets with the manufacturers, and has decided to disclose the information to the user community after the disclosure period ends.
The first issue relates to physical tampering with the device. According to the Ledger team, the wallet can be compromised before it reaches the buyer by accessing a “backdoor” in the device with malware and then re-sealing the box with a fake hologram. Ledger said that this vulnerability can only be resolved by changing the design of the wallet, specifically one of the core components that houses the Secure Element chip.
In November 2018, the company itself issued a warning about a third-party entity that was selling counterfeit copies of its wallets. The fake wallets were mostly sourced from China, and the company recommended that users only order wallets from its official website.
However, Ledger claims that even when buying a wallet from the official website, there is no guarantee that it is not tampered with, as an attacker could order a number of wallets, compromise them through the backdoor, re-seal them so that they appear new, and then return them to the company for a refund. The attacker could then sell the compromised wallets to other customers.
Secondly, Ledger’s hacker team said that they were able to guess the PIN of a wallet by using the Side-Channel attack method. This information was shared with the wallet’s manufacturer in November 2018 and was addressed in the update 1.8.0.
The third and fourth vulnerabilities, both of which relate to the use of the Secure Element chip, involve data leaks from the device. Ledger said that an attacker only needs to get hold of a One wallet or a Model T in order to extract data from the Flash memory and take control of all of the assets stored on it.
The final vulnerability relates to the security and encryption model of the One wallet. According to Ledger, the library of the One wallet does not have enough anti-hardware attack measures. A hacker would only need to steal the wallet in order to obtain a secret key using the Side-Channel attack method, even though the company’s wallets are now immune to this trick.
In November 2018, a research team at the 35C3 Conference demonstrated that they were able to hack into the ONE, Ledger Nano S, and Ledger Blue wallets. Both the research team and Ledger confirmed these vulnerabilities, but while the former had to issue a software update for users, Ledger said that the above errors were not too serious for its wallets.
Here are some related articles for your reference:
* [Ledger warns of fake wallets being sold online](https://www.coindesk.com/ledger-warns-of-fake-wallets-being-sold-online)
* [Ledger patches Side-Channel attack vulnerability](https://www.coindesk.com/ledger-patches-side-channel-attack-vulnerability)
* [Ledger Nano X review: A new challenger enters the hardware wallet market](https://www.coindesk.com/ledger-nano-x-review-a-new-challenger-enters-the-hardware-wallet-market)
Các lỗ hổng được phát hiện bởi phòng thí nghiệm tấn công của công ty, chịu trách nhiệm hack vào các thiết bị của riêng mình và các đối thủ cạnh tranh để cải thiện bảo mật.Ledger cho biết họ đã chia sẻ tất cả những phát hiện của mình về các lỗ hổng trong ví một và mô hình T với các nhà sản xuất và đã quyết định tiết lộ thông tin cho cộng đồng người dùng sau khi thời gian tiết lộ kết thúc.
Vấn đề đầu tiên liên quan đến giả mạo vật lý với thiết bị.Theo nhóm Ledger, ví có thể bị xâm phạm trước khi đến người mua bằng cách truy cập vào một cửa hàng backdoor trên thiết bị với phần mềm độc hại và sau đó dán lại hộp bằng hình ba chiều giả.Ledger nói rằng lỗ hổng này chỉ có thể được giải quyết bằng cách thay đổi thiết kế của ví, cụ thể là một trong những thành phần cốt lõi chứa chip phần tử an toàn.
Vào tháng 11 năm 2018, chính công ty đã đưa ra một cảnh báo về một thực thể của bên thứ ba đang bán các bản sao giả của ví của mình.Các ví giả chủ yếu có nguồn gốc từ Trung Quốc và công ty khuyến nghị người dùng chỉ đặt hàng ví từ trang web chính thức của mình.
Tuy nhiên, sổ cái tuyên bố rằng ngay cả khi mua ví từ trang web chính thức, không có gì đảm bảo rằng nó không bị giả mạo, vì một kẻ tấn công có thể đặt hàng một số ví, thỏa hiệp chúng qua cửa sau, hãy niêm phong chúng để chúng xuất hiệnMới, và sau đó trả lại cho công ty để được hoàn lại tiền.Kẻ tấn công sau đó có thể bán các ví bị xâm phạm cho các khách hàng khác.
Thứ hai, nhóm Hacker Ledger, nói rằng họ có thể đoán được pin của ví bằng cách sử dụng phương pháp tấn công kênh bên.Thông tin này đã được chia sẻ với nhà sản xuất ví vào tháng 11 năm 2018 và được giải quyết trong bản cập nhật 1.8.0.
Các lỗ hổng thứ ba và thứ tư, cả hai liên quan đến việc sử dụng chip phần tử an toàn, liên quan đến rò rỉ dữ liệu từ thiết bị.Ledger nói rằng kẻ tấn công chỉ cần giữ một ví hoặc một mô hình T để trích xuất dữ liệu từ bộ nhớ flash và kiểm soát tất cả các tài sản được lưu trữ trên đó.
Lỗ hổng cuối cùng liên quan đến mô hình bảo mật và mã hóa của một ví.Theo sổ cái, thư viện của một ví không có đủ các biện pháp tấn công chống phần mềm.Một hacker sẽ chỉ cần đánh cắp ví để có được một khóa bí mật bằng phương pháp tấn công kênh bên, mặc dù ví của công ty hiện đang miễn dịch với thủ thuật này.
Vào tháng 11 năm 2018, một nhóm nghiên cứu tại Hội nghị 35C3 đã chứng minh rằng họ có thể hack vào một, Ledger Nano S và Ledger Blue Wallets.Cả nhóm nghiên cứu và sổ cái đều xác nhận các lỗ hổng này, nhưng trong khi trước đây phải phát hành bản cập nhật phần mềm cho người dùng, Ledger nói rằng các lỗi trên không quá nghiêm trọng đối với ví của nó.
Dưới đây là một số bài viết liên quan để bạn tham khảo:
* [Ledger cảnh báo về ví giả đang được bán trực tuyến] (https://www.coindesk.com/ledger-warns-of-fake-wallets-being-sold-online)
* [Bản vá sổ cái lỗ hổng tấn công kênh bên] (https://www.coindesk.com/ledger-patches-side-channel-attackability)
* [Sedger Nano X Đánh giá: Một người thách đấu mới bước vào thị trường ví phần cứng] (https://www.coindesk.com/ledger-nano-x-review-a-new-challenger-Enters-the-hardware-wallet-market)
=======================================
, Ledger has detected up to 5 security vulnerabilities in its hardware wallet devices, according to a blog post published on 11/03.
The vulnerabilities were discovered by the company's Attack Lab, which is responsible for hacking into its own devices and those of competitors in order to improve security. Ledger said it has shared all of its findings on the vulnerabilities in the ONE and Model T wallets with the manufacturers, and has decided to disclose the information to the user community after the disclosure period ends.
The first issue relates to physical tampering with the device. According to the Ledger team, the wallet can be compromised before it reaches the buyer by accessing a “backdoor” in the device with malware and then re-sealing the box with a fake hologram. Ledger said that this vulnerability can only be resolved by changing the design of the wallet, specifically one of the core components that houses the Secure Element chip.
In November 2018, the company itself issued a warning about a third-party entity that was selling counterfeit copies of its wallets. The fake wallets were mostly sourced from China, and the company recommended that users only order wallets from its official website.
However, Ledger claims that even when buying a wallet from the official website, there is no guarantee that it is not tampered with, as an attacker could order a number of wallets, compromise them through the backdoor, re-seal them so that they appear new, and then return them to the company for a refund. The attacker could then sell the compromised wallets to other customers.
Secondly, Ledger’s hacker team said that they were able to guess the PIN of a wallet by using the Side-Channel attack method. This information was shared with the wallet’s manufacturer in November 2018 and was addressed in the update 1.8.0.
The third and fourth vulnerabilities, both of which relate to the use of the Secure Element chip, involve data leaks from the device. Ledger said that an attacker only needs to get hold of a One wallet or a Model T in order to extract data from the Flash memory and take control of all of the assets stored on it.
The final vulnerability relates to the security and encryption model of the One wallet. According to Ledger, the library of the One wallet does not have enough anti-hardware attack measures. A hacker would only need to steal the wallet in order to obtain a secret key using the Side-Channel attack method, even though the company’s wallets are now immune to this trick.
In November 2018, a research team at the 35C3 Conference demonstrated that they were able to hack into the ONE, Ledger Nano S, and Ledger Blue wallets. Both the research team and Ledger confirmed these vulnerabilities, but while the former had to issue a software update for users, Ledger said that the above errors were not too serious for its wallets.
Here are some related articles for your reference:
* [Ledger warns of fake wallets being sold online](https://www.coindesk.com/ledger-warns-of-fake-wallets-being-sold-online)
* [Ledger patches Side-Channel attack vulnerability](https://www.coindesk.com/ledger-patches-side-channel-attack-vulnerability)
* [Ledger Nano X review: A new challenger enters the hardware wallet market](https://www.coindesk.com/ledger-nano-x-review-a-new-challenger-enters-the-hardware-wallet-market)
