Chuyên gia bảo mật 15 tuổi chia sẻ những khám phá về ví cứng Ledger

Nhà sản xuất ví cứng Ledger đã xuất bản một bản cập nhật phần mềm để khắc phục một số lỗ hổng bảo mật. Các phát hiện lỗ hổng bảo mật này được khám phá độc lập và được tìm ra bởi một chuyên gia nghiên cứu an ninh mũ trắng, một trong số đó là Saleem Rashid, một cậu bé 15 tuổi người Anh. Các vector tấn công mà cậu bé phát hiện ra là dựa trên thiết bị phần cứng, và không chỉ giới hạn các thiết bị Ledger.


Cậu bé an ninh tìm thấy lỗ hổng
Vào ngày 20 tháng 3, Ledger đã đưa ra bản cập nhật phần mềm 1.4.1 kèm theo một bài đăng trên blog hứa hẹn "nghiên cứu sâu hơn các bản sửa lỗi bảo mật". Họ chia sẻ: "Sau quá trình thông cáo minh bạch và có trách nhiệm, chúng tôi đang đưa ra một đánh giá chi tiết đầy đủ về các vectơ tấn công cố định mà các bản vá lỗi Firmware 1.4 sẽ cài vào, đây là những lỗ hổng mà ban đầu được báo cáo bởi ba nhà nghiên cứu bảo mật. Khi công bố những chi tiết kỹ thuật này có thể sẽ làm tăng mức độ đe dọa của các thiết bị chưa vá lỗi, chúng tôi khuyến khích người sử dụng cập nhật phần mềm".

Đây là khám phá được phát hiện bởi Saleem Rashid mà sẽ kéo theo nhiều sự chú ý nhất, cả về tuổi tác, lẫn những công bố về cách thức mà cậu bé phát hiện ra: "Một kẻ tấn công có thể khai thác lỗ hổng này để thỏa hiệp với thiết bị trước khi người dùng nhận nó, hoặc để ăn cắp khóa cá nhân từ thiết bị vật lý hoặc, trong một số kịch bản, chúng có thể ăn cắp từ xa", Rashid giải thích. “Cháu sẽ diễn tả lại hình thức tấn công trên một thiết bị Ledger Nano S vật lý thực tế. Thêm vào đó, cháu đã gửi mã nguồn cho Ledger vài tháng trước, vì vậy họ có thể thực hiện lại các bước đó".

Cậu ta cũng nói trên một blog an ninh rằng "[Ledger] làm cho việc mở thiết bị rất dễ ràng, bạn có thể lấy móng tay của bạn và mở nó lên [để xáo trộn với nó]".

Chương trình thưởng Hacker Mũ Trắng
Ledger cho biết các nhà nghiên cứu an ninh đã được đề nghị ký một thoả thuận (Chương trình thưởng Bounty) như là một trong những điều kiện được trả cho những nỗ lực của họ, đồng thời lưu ý rằng điều này không ngăn cản các nhà nghiên cứu xuất bản các báo cáo của họ. Bài báo được viết theo cách gợi ý rằng cả ba nhà nghiên cứu đều vui vẻ tuân thủ thỏa thuận này, nhưng điều đó không hoàn toàn đúng. Rashid thực sự đã bỏ phần thưởng của mình, giải thích:
"Cháu đã không được trả bởi một khoản tiền thưởng từ Ledger bởi vì thỏa thuận bao gồm cả trách nhiệm của họ sẽ ngăn cản cháu xuất bản báo cáo kỹ thuật này. Cháu chọn xuất bản báo cáo này thay vì nhận phần thưởng từ Ledger, chủ yếu là vì Eric Larchevêque, Giám đốc điều hành của Ledger, đã đưa ra một số nhận xét trên Reddit, vốn đầy những thông tin không chính xác về mặt kỹ thuật. Do đó cháu đã lo ngại rằng lỗ hổng này sẽ không được giải thích đúng đắn tới khách hang".

Nhà nghiên cứu thanh thiếu niên này cho rằng Ledger đang tìm cách hạ thấp mức độ nghiêm trọng của pháp hiện mà cậu ta đã khám phá ra. Xuất bản một báo cáo đầy đủ và thẳng thắn về việc cậu ta đã hack ví cứng Ledger như thế nào, và từ bỏ phần thưởng, không làm danh tiếng của cậu ta hay người theo dõi Twitter của cậu ta thiệt hại.

Saleem Rashid có vẻ như thông minh trước tuổi, và bài viết của cậu ta về phát hiện này là dài nhưng hấp dẫn cho bất cứ ai quan tâm đến những vấn đề như vậy.

Ví tiền điện tử cứng của bạn có an toàn?
Một vấn đề có nguy cơ khủng hoảng là tình trạng của ví Ledger. Giáo sư Mật mã Matthew Green đã đăng một câu hỏi hóc búa để đáp lại blog của Rashid. Ông trấn an: "Không có gì trong bài viết hay chủ đề ở trên có nghĩa là bạn nên từ bỏ ví, hoặc bạn nên dùng ví khác tốt hơn. Vấn đề chỉ là sự an toàn".

Người dùng Ledger nên cập nhật phần mềm mới nhất. Những cuộc tấn công như vậy do Saleem Rashid chứng minh cho thấy khó khăn trong việc tạo ra một thiết bị miễn nhiễm với mọi hình thức tấn công.

Theo bitcoin.com