Categorías: Noticias

Un joven del 15 años rompe la seguridad del Ledger Nano S

Un investigador de seguridad de 15 años descubrió una falla grave en las billeteras de hardware de criptomonedas hechas por Ledger, una compañía francesa cuyos populares productos están diseñados para salvaguardar físicamente las claves públicas y privadas utilizadas para recibir o gastar las criptomonedas del usuario.

Las carteras de hardware como las que vende Ledger están diseñadas para proteger las claves privadas del usuario de algún software malicioso que podría tratar de recolectar esas credenciales de su computadora. Los dispositivos permiten transacciones a través de una conexión a un puerto USB, sin revelar la clave privada.

Sin embargo, Saleem Rashid, un investigador de seguridad de 15 años del Reino Unido, descubrió una forma de adquirir las claves privadas de los dispositivos Ledger. El método de Rashid requiere que un atacante tenga acceso físico al dispositivo, y normalmente dichos ataques no serían notables porque caen bajo la regla de seguridad número 1: si un atacante tiene acceso físico a su dispositivo, ya no es su dispositivo.

Rashid descubrió que un revendedor de productos de Ledger podría inyectar los dispositivos con código malicioso que esperaría a que un comprador potencial lo utilizara, para luego desviar la clave privada y vaciar las cuentas en criptodivisas del usuario.

La clave del problema es que los dispositivos de Ledger contienen un chip de procesador seguro y un chip de microcontrolador no seguro. Este último se utiliza para una variedad de fines, desde el manejo de las conexiones USB hasta la visualización de texto en la pantalla digital del Ledger, pero los dos chips aún pasan información entre ellos.

Rashid descubrió que un atacante podría comprometer el procesador inseguro (el microcontrolador) en los dispositivos Ledger para ejecutar código malicioso sin ser detectado.

Los productos de Ledger contienen un mecanismo para verificar que el código de alimentación de los dispositivos no haya sido modificado, pero el código de prueba de concepto de Rashid, lanzado en tándem con un anuncio de Ledger sobre una nueva actualización de firmware diseñada para corregir el error, permite a un atacante forzar al dispositivo a eludir esas comprobaciones de seguridad.

“Puedes instalar lo que quieras en ese chip no seguro”, dijo Rashid en una entrevista con KrebsOnSecurity.

Kenneth White, director del Open Crypto Audit Project, tuvo la oportunidad de revisar los hallazgos de Rashid antes de su publicación. White dijo que estaba impresionado con la elegancia del código de ataque de prueba de concepto, que Rashid envió a Ledger hace aproximadamente cuatro meses. Un video de Rashid demostrando su ataque puede verse aquí.

Etiquetas: Ledger NanoWallets

Entradas recientes

Elon Musk hunde el precio del Bitcoin con un solo tweet. ¿Y ahora qué sigue?

El precio del Bitcoin amaneció en rojo, debido principalmente a un tweet de Elon Musk. Acá un análisis situacional y…

2 horas

eBay permite el comercio de NFT en la plataforma

eBay anunció que habilitará oficialmente el comercio de NFT a través de su plataforma comercial de Internet ¿Han llegado para…

8 horas

CME Group operó más de 100.000 futuros de micro Bitcoin

En tan solo seis días, CME Group operó más de 100.000 futuros de micro Bitcoin, que equivalen a un décimo…

17 horas

Peter Schiff: Ethereum superará a Bitcoin

Para el cripto escéptico, Peter Schiff, el dominio de Bitcoin sobre el cripto mercado podría acabarse gracias al crecimiento de…

17 horas

Ethereum logró otro máximo histórico por encima de los USD 4.300

Ether continúa en una tendencia alcista. Ethereum logró otro máximo histórico este miércoles cuando superó los USD 4.300 por unidad.

19 horas

Usamos cookies para optimizar el tiempo de carga. No recolectamos ninguna información.