15歳の少年がLedger Nano Sの脆弱性を公開
CryptoCoinsNews-wallet-hacksは、15歳の少年がハードウォレットのハックに成功し、その脆弱性を指摘したと報じて話題となっている。
ハードウェアウォレットとして知られるLedger nano Sなどは、デバイスをPCに接続した状態で、デバイスのボタンを操作して暗号通貨の資産管理を行うことができる。
これに対し、15歳のセキュリティ専門家Saleem Rashid(サリーム・ラシッド)氏は、「マイクロコントローラー(ボタン)で操作する方式は危険だ」と指摘している。
デバイスを操作する際に、ボタンから入力された英数字をディスプレイに表示させる方式をとっており、これはセキュアエレメントとプロキシが接続された状態で行われる。表示情報には秘密鍵が含まれており、セキュアエレメントはハッカーの攻撃に対して無防備となってしまうという。
この証拠としてラシッド氏は、自身のHPにLedger nano Sのファームウェアをハックした動画を掲載。パスコードやリカバリーシードを自由に書き換えれることを発表した。
As one of the security researchers, I urge to update now. This article doesn't make it clear enough how dangerous this issue can be.
— Saleem Rashid (@spudowiar) 2018年3月6日
Potential issues include compromised recovery seed generation or private key extraction. https://t.co/Z2WGFZnFAA
(編集部訳)セキュリティリサーチャーとして公開します。この(Ledger公式)記事では、この問題の危険性をしっかり伝えていません。この問題には、暗号鍵やリカバリーシードが漏洩することも含まれているのです。
このニュースに対し、ユーザーの声は…
15-year-old British teen Saleem Rashid hacks the Ledger Nano S hardware wallet designed to store crypto-currencies - Do you think he should have received a bounty for his discovery? #Hacked #cryptocurrency #LedgerWallet #cybersecurity #hacker #bounty
— JordonBarnett (@jordonlbarnett) 2018年3月22日
(編集部訳)イギリス在住の15歳、サリーム・ラシッド君がLedger Nano Sのハッキングに成功。みんなは、彼に報酬が支払われるべきだと思う?