دراسة نشرت مؤخرا (الصفحة ) يحذر من مدى سهولة هجوم "رجل في الوسط" المحتمل على مستخدمي Ledger ، في ملخص:
"تنشئ محافظ Ledger عنوان الاستلام المعروض باستخدام رمز JavaScript قيد التشغيل على الجهاز المضيف. وهذا يعني أن البرامج الضارة يمكنها ببساطة استبدال الرمز المسؤول عن إنشاء عنوان الاستلام بعنوانه الخاص ، مما يؤدي إلى إرسال جميع الإيداعات المستقبلية إلى المهاجم.
نظرًا لأن عناوين الاستلام تتغير باستمرار كجزء من النشاط المعتاد للمحفظة ، فإن المستخدم ليس لديه طريقة تافهة (مثل التعرف على عنوانه) للتحقق من تعقيد عنوان الاستلام.
بقدر علمه ، فإن عنوان الاستلام المعروض هو عنوان الاستلام الفعلي "
على الرغم من عدم وجود تقارير عن استخدام هذه الطريقة حتى الآن، فقد تم تقديم دليل على المفهوم في الدراسة، مما دفع ليدجر إلى الموافقة على النتائج، وإصدار البيان التالي عبر تويتر:
باعت شركة Ledger أكثر من مليون محفظة أجهزة في عام 1 وهي حاليًا أكثر أجهزة تخزين العملات المشفرة شيوعًا.
-------"تنشئ محافظ Ledger عنوان الاستلام المعروض باستخدام رمز JavaScript قيد التشغيل على الجهاز المضيف. وهذا يعني أن البرامج الضارة يمكنها ببساطة استبدال الرمز المسؤول عن إنشاء عنوان الاستلام بعنوانه الخاص ، مما يؤدي إلى إرسال جميع الإيداعات المستقبلية إلى المهاجم.
نظرًا لأن عناوين الاستلام تتغير باستمرار كجزء من النشاط المعتاد للمحفظة ، فإن المستخدم ليس لديه طريقة تافهة (مثل التعرف على عنوانه) للتحقق من تعقيد عنوان الاستلام.
بقدر علمه ، فإن عنوان الاستلام المعروض هو عنوان الاستلام الفعلي "
على الرغم من عدم وجود تقارير عن استخدام هذه الطريقة حتى الآن، فقد تم تقديم دليل على المفهوم في الدراسة، مما دفع ليدجر إلى الموافقة على النتائج، وإصدار البيان التالي عبر تويتر:
من المهم ملاحظة أن هذا لا يمكن اعتباره "ثغرة أمنية" في Ledger ، بل خطر توصيل دفتر الأستاذ بجهاز كمبيوتر مصاب بالبرامج الضارة.للتخفيف من الرجل في ناقلات الهجوم الأوسط ذكرت هنا https://t.co/GFFVUOmlkk (يؤثر على جميع موردي محفظة الأجهزة) ، تحقق دائمًا من عنوان الاستلام على شاشة الجهاز عن طريق النقر على "زر الشاشة" الموافقة المسبقة عن علم.twitter.com / EMjZJu2NDh- ليدجر (LedgerHQ) 3 فبراير 2018
باعت شركة Ledger أكثر من مليون محفظة أجهزة في عام 1 وهي حاليًا أكثر أجهزة تخزين العملات المشفرة شيوعًا.
كاتب: روس ديفيس
مكتب أخبار سان فرانسيسكو
لا توجد تعليقات
أضف تعليق