Oficjalnie: Ledger potwierdza iż ma backdoora! Czy portfele sprzętowe są w ogóle bezpieczne?

1 rok temu

Po trwającej od wczoraj burzy w internecie spowodowanej doniesieniami o nowej funkcji Ledger Recover firma postanowiła ustosunkować się do kontrowersji jakie narosły wokół marki. Producent portfeli sprzętowych przyznał się, iż każde urządzenie posiadają tzw. backdoora który przy instalacji odpowiedniego systemu jest w stanie uzyskać dostęp do informacji wrażliwych. Wielu komentujących czuje się oszukanych, przy czym niektórzy eksperci od cyberbezpieczeństwa uspokajają nastroje. Jak blamaż PR-owy Ledgera wpłynie na przyszłość „zimnych portfeli”?

Ledger przyznaje: urządzenie od początku posiadało tylne drzwi

Przypomnijmy: nowa funkcja portfeli sprzętowych o nazwie Ledger Recover umożliwia użytkownikom urządzeń tego producenta dodatkowe zabezpieczenie swoich aktywów cyfrowych poprzez przesłanie fragmentów hasła złożonego z fraz seed osobom trzecim. Wywołało to burzę w społeczności krypto, jako iż bardzo wielu ludzi uważało dotychczas (na podstawie informacji firmowych), iż spółka poza wysyłaniem sprzętu nie ma jakiegokolwiek dostępu do danych zawartych na urządzeniu.

Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger

May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu

— olimpio (@OlimpioCrypto) May 17, 2023

Nagle okazuje się jednak, iż ma, a przynajmniej może mieć. Sprzęt umożliwia bowiem aktualizację systemu która jest w stanie wykraść nasze informacje poufne. Ostatecznie zostajemy więc z absolutnym zaufaniem dla producenta urządzenia.

Jeszcze wczoraj tzw. „backdoor” był elementem spekulacji na Reddicie (poruszaliśmy to w ostatnim wpisie), jednak kilkanaście godzin temu Ledger oficjalnie potwierdził: tak, urządzenia posiadają taką funkcjonalność.

Reddit

Technicznie rzecz biorąc, zawsze było możliwe napisanie systemu układowego ułatwiającego wydobywanie kluczy. Zawsze ufałeś Ledgerowi, iż nie wdroży takiego systemu układowego, niezależnie od tego, czy o tym wiedziałeś, czy nie.– odpowiedział pion pomocy technicznej marki.

Usunięty tweet Ledger Support

(AKTUALIZACJA): Firma usunęła kontrowersyjny tweet określając go „błędnym sformułowaniem pracownika supportu”. Komentujący nie dają jednak za wygraną i uważają, iż wypowiedź dobrze zakreśliła na czym polega problem i iż czynnika ludzkiego należy się obawiać.

[1/3] You may have seen a tweet from our Ledger Support account being shared regarding Ledger firmware updates.

Unfortunately, in our attempt to clarify how Ledger and all wallets work with the firmware, a customer support agent posted a tweet with confusing wording. https://t.co/cL6UrBzxWr

— Ledger Support (@Ledger_Support) May 18, 2023

Oświadczenie tylko pogorszyło krytykę padającą pod adresem producenta. Niektórzy żartownisie spekulują wręcz, iż firma teraz mogłaby i tak zgasić za sobą światło kosztem posiadaczy kryptowalut jako iż ich renoma z dnia na dzień upadła.

What if Ledger thinks "we'll our brand is fucked now anyway" and they actually do that mass key extraction exit scam. pic.twitter.com/8TXDzgH0MD

— Byzantine General (@ByzGeneral) May 17, 2023

Krytyka nie jest jednomyślna

Nie wszyscy jednak podzielają entuzjazm jaki towarzyszy gradowi krytyki jednego z wiodących producentów portfeli sprzętowych. MintDefense, firma zajmująca się ochroną inwestorów kryptowalutowych przed potencjalnymi stronami i kontraktami phishingowymi opublikowała wątek, w którym informuje, iż każde rozwiązanie w sferze bezpieczeństwa opiera się de facto na balansowaniu ryzyka i miary potencjalnych szkód.

Zarówno korzystanie z portfeli sprzętowych markowych producentów jak i trzymanie aktywów na „hot walletach” jak MetaMask czy na giełdach kryptowalut wiąże się z ryzykiem. Pytanie tylko jak duże jest to ryzyko oraz jaki wpływ będzie miało na nas złamanie ewentualnych zabezpieczeń / materializacja się danego ryzyka.

Pełen wątek możecie przeczytać poniżej:

Web3 is in panic due to @Ledger announcing their latest feature, Recover.

The truth is the risk to current Ledger users is virtually 0.

Danor "@An7i21" Cohen, one of our Founders, veteran cybersecurity expert, and white hat hacker with 15+ years of experience, explains why:

/1

— MintDefense (@MintDefense) May 17, 2023
Idź do oryginalnego materiału