レジャーハードウェアウォレットの脆弱性によりクライアントがリスクにさらされるBy ETH NEWS


レジャーハードウェアウォレットの脆弱性によりクライアントがリスクにさらされるBy ETHNEWS

市場にあるすべてのレジャーハードウェアウォレットに影響を与える脆弱性は、
悪意のある者がレジャーの顧客に不正にアドレス受信をさせてしまうことである。
ユーザーたちがこのようなアドレスにファンドを要求してしまうと、
意図した暗号通貨は代わりにアタッカーのウォレットに入ってしまう。

暗号通貨ウォレットを提供するLedgerは、2月3日に、ハードウェアウォレットのすべてが
悪意のある者が顧客に偽のアドレスを受信させる可能性があるという脆弱性により、
受け取ろうとした暗号通貨が代わりにアタッカーのウォレットに入ってしまうことを認めた。

同社が運営するTwitterアカウントは、この脆弱性について報告するハイパーリンクをツイートした。

Ledgerがウェブサイトのインストラクションページで言うように、
「レジャーウォレットは、支払いを受け取るたびに新しいアドレスを生成します。」
(このページは2月5日に更新され、ETHNewsがアクセスしたときに、この脆弱性に関連する引用されたテキストやその他の情報が赤で強調表示されていた)

この脆弱性が生じるのはこれらのアドレスを生成することにある。
Ledgerは、「アタッカーはあなたのコンピュータ画面を制御し、間違ったアドレスを表示して、それに送られた取引の受益者となるだろう」と警告している。
レポートによると、これは、ウォレットが接続されているコンピュータ上で「JavaScriptコードが稼働している」ためだ。
そのマシンにMan-in-the-Middle攻撃を行うことができるマルウェアが存在する場合、 “受信アドレスを生成する責任を負うコード”をアタッカーに属するアドレスを吐き出すコードに簡単に置き換えることができる。

Ledgerから入手可能なレポートとドキュメントは、ビットコインの受信アドレスが正しいかどうかを確認する方法に関するガイダンスを提供している。
Ledgerが言うには、「QRコードの下にあるモニターのようなボタンをクリックしてください。
[ハードウェアウォレット自体の画面]にアドレスが表示されます。
ユーザーのモニター上のウォレットが自分のウォレットの画面上のものと一致しない場合、モニター上のアドレスが正しくないため、両方の場所で同じアドレスが表示されていることを確認することが非常に重要です。」

しかし、このレポートによれば、このようなモジュールはLedgerのEther walletインターフェースでは利用できない。
「Ethereum App(もしかしたら他のアプリも)は軽減策がないので、受信アドレスが改ざんされているかどうかを検証する方法はありません。
したがって、著者は、「Ethereum Appを使用している場合は、Ledgerハードウェアウォレットを他のソフトウェアベースのウォレットと同じように扱い、マルウェアフリーであることが保証されているLive CDオペレーティングシステムでのみ使用してください。
少なくともこの記事が何らかの修正を受けるまでは。」

この文書が公表されるまで、この脆弱性がEtherトークンの送受信に影響を及ぼす可能性があるかどうかについて、LedgerはETHNewsの問い合わせに応答していなかった。

この文書はまた、研究者がLedgerに調査結果を通知したことに関連し、27日、CTOは、「修正/変更は行われないが(受信アドレスの検証をユーザーに強制する忠告は拒否されている)、ユーザーがそのような攻撃から身を守ることができるように、一般の意識を高めることに取り組む」と語った。

2月5日に再更新されたヘッダー「基本的なセキュリティ原則(必読)」にあるLedgerのWebサイトのページには、「ハードウェアウォレットを使用しても無敵にはなりません…信用せず、正しいか検証してください」という警告が表示される。

アダム リーズ
ロサンゼルスを拠点にテクノロジー、国内外の政治、社会問題やインフラおよび芸術に関心を持つライター。
ETHNewsの常勤ライターであり、EtherとBTCに見識を持つ。

基本的なセキュリティ原則(読まなければならない)

情報元 ETHNewsより転載、翻訳。
https://www.ethnews.com/ledger-hardware-wallets-vulnerability-exposes-clients-to-risk?platform=hootsuite

最新情報&掲示板

メールアドレスが公開されることはありません。