Vulnerabilità Ledger Nano S - si prega di fare attenzione

[r00]

La notizia è stata riportata da CoinTelegraph -> https://cointelegraph.com/news/newly-discovered-vulnerability-in-all-ledger-hardware-wallets-puts-user-funds-at-risk
E' compito di noi tutti informarci tempestivamente circa la sicurezza dei nostri possedimenti digitali e servizi utilizzati.

Link all'articolo pubblicato dall'azienda: https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack.pdf#page=2


Secondo il rapporto, un attacco "man in the middle" può essere eseguito quando l'utente tenta di generare un indirizzo per ricevere bitcoin sul proprio portafoglio Ledger. Se il computer utilizzato in questo processo è infetto da malware, l'utente malintenzionato può sostituire segretamente il codice responsabile della generazione dell'indirizzo, causando "l'invio di tutti i futuri depositi all'attaccante".

Come proteggersi
Fortunatamente per i proprietari dei loro portafogli, Ledger ha anche rivelato come evitare l' attacco "uomo nel mezzo" . Secondo il rapporto, gli utenti dovrebbero approfittare di una funzionalità "non documentata" del portafoglio che visualizza l'indirizzo di ricezione sul display fisico del portafoglio.



Facendo clic sul pulsante del monitor in basso a sinistra del menu "Ricevi Bitcoin" e confermando l'indirizzo sul display del portafoglio hardware ogni volta che ne genera uno nuovo, gli utenti possono assicurarsi che l'indirizzo non sia stato manomesso.

Il rapporto indica inoltre che questa funzione non è obbligatoria e non è applicata dall'interfaccia di Ledger, ponendo la responsabilità finale per la sicurezza dei fondi sugli utenti stessi.

I portafogli hardware sono considerati uno dei modi più sicuri per archiviare le criptovalute, anziché tenerli su una borsa o un portafoglio online.

Tuttavia, con oltre un milione di utenti di Ledger colpiti dal vettore di attacco appena scoperto, diventa chiaro che persino avere un portafoglio hardware non "ti rende invincibile", secondo le stesse parole della compagnia .

[method180]

Grazie 1000 dell'informazione.... comunque io già facevo questa procedura perchè su qualche guida che ho letto tempo fà già consigliavano di fare così!!

[arturo05]

Ho sempre avuto grosse perplessità sui wallet hardware. Fin da quando hanno hackerato il Trezor più o meno con degli attrezzi da elettricista (uno per tutti https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8).

La maggior sicurezza, maggiore non assoluta, è usare wallet in cold storage con transazioni firmate off line. Sacrifichi magari un PC ( e non date retta a chi dice che basta usare il vecchio pc del nipote di mia cugina.... Se non c'è un minimo di hardware decente i wallet non si installano....), ti sbatti un po', ma alla fine la sicurezza è (quasi) garantita. Poi dipende. Se hai investiti 100 euro te la puoi rischiare anche usando il PC di tutti i giorni. Se ne hai investiti 10000 forse usarne 500 per un PC dedicato non sarebbe male...

[Jack Liver]

Ma il display sull'hardware wallet serve proprio a verificare l'indirizzo di invio e confermarlo col pulsante proprio per evitare i MITM non è mica na novità o una feature segreta 

[Ale88]

Se il computer utilizzato in questo processo è infetto da malware, l'utente malintenzionato può sostituire segretamente il codice responsabile della generazione dell'indirizzo, causando "l'invio di tutti i futuri depositi all'attaccante".

Ok quindi come al solito bisogna partire da una situazione già compromessa in partenza (pc infetto), un po' come il malware che gira(va?) tempo fa che riconosceva in automatico i copia e incolla degli indirizzi BTC e li sostituiva in automatico, per tutto il resto restava dormiente sul pc.

Se uno non ha il pc infetto non ha nulla di cui preoccuparsi.

[francescowm]

Se il computer utilizzato in questo processo è infetto da malware, l'utente malintenzionato può sostituire segretamente il codice responsabile della generazione dell'indirizzo, causando "l'invio di tutti i futuri depositi all'attaccante".

Ok quindi come al solito bisogna partire da una situazione già compromessa in partenza (pc infetto), un po' come il malware che gira(va?) tempo fa che riconosceva in automatico i copia e incolla degli indirizzi BTC e li sostituiva in automatico, per tutto il resto restava dormiente sul pc.

Se uno non ha il pc infetto non ha nulla di cui preoccuparsi.

Esatto, alla fine non è una vera e propria vulnerabilità della ledger ma è sempre colpa di un pc infetto

[Gc24]

'tacci di chi scrive sti articoli, con un malware nel pc (un pc infetto) NON HA SENSO parlare di vulnerabilità. Specie perché non tutti sono pratici in questo forum e ci mancano anche notizie allarmanti sugli hw wallets.

Sarebbe come scrivere:

"Vulnerabilità caricabatterie macbook pro, se il pc è affetto da malware, è a rischio la private key dell'utente".

Se il malware gira e funziona bene, ahimè per chi lo contrae, non ci sono vulnerabilità, è tutto compromesso.

[Ale88]

Esatto, alla fine non è una vera e propria vulnerabilità della ledger ma è sempre colpa di un pc infetto

'tacci di chi scrive sti articoli, con un malware nel pc (un pc infetto) NON HA SENSO parlare di vulnerabilità. Specie perché non tutti sono pratici in questo forum e ci mancano anche notizie allarmanti sugli hw wallets.

In effetti creano allarmismo per niente, io stesso all'inizio pensavo che fosse una vulnerabilità del Ledger, e che tutti i Ledger a prescindere avessero questo problema. Come sempre si scrivono le cose al contrario 

[thetigcoder]

Si può stare tranquilli

[Jack Liver]

Decisamente, in questi anni poi grazie a vari hackathon la tecnologia è stata migliorata a tal punto che anche un attacco con accesso fisico al device richieda sforzi immani.

[MarioV]

Una risorsa da leggere per farsi un'idea: https://etherevolution.eu/vulnerabilita-negli-hardware-wallet-ledger

Resta sempre buona norma l'uso di una distro "live" di Linux per accedere al Ledger.

[pablito1989]

mail appena arrivata da Ledger:

"Dear Ledger user,

Protecting your security is of paramount importance to us. The Ledger Wallet Bitcoin Chrome application has just been updated to give you more control over the security of your transactions. The update is automatic and enables an essential new feature: verification of the reception address directly on the device.

This new feature is addressing a specific issue known in the crypto-community as the "Man in the Middle Attack". There has been a recent announcement of a malware proof of concept that could potentially infect the user’s computer - including, the Ledger Chrome application. In this scenario, an attacker could theoretically change the ‘receive’ address displayed on the (infected) computer’s screen within the Ledger Chrome application.

By enabling you to verify the receive address on your device (the only source you can trust), the updated Chrome app provides an additional peace-of-mind.  Always verify the receive address on your device before communicating it to a third party.

Your current funds are not at risk and do not require any action.

Besides this important software update, we are taking 3 specific actions to make sure our users are safe and secure, while remaining alert:
-Software updates: the Ledger Wallet Bitcoin Chrome application is the first to benefit from the on device receive address verification feature. It is available for Bitcoin and all other coins managed by the Chrome app. ETH and XRP apps will benefit from that new feature in the upcoming desktop global release.
-Upgraded Bug Bounty program: we are growing quickly - and we are still developing and strengthening some of our behind the scenes processes. We value contributions from security researchers and the community, and will be making our Bug Bounty programs faster and more efficient.
-Prevention: we are continuously working on developing resources and materials to help our user base better understand the threats they face and how they can best secure their assets. If not done already, we urge you to read our basic security principles ruleset.
Security is an arms race. We’re in it for the long haul and are prepared for it. At Ledger, we take our mission seriously and that mission is to protect you.

Thank you for your trust.

Eric Larcheveque
Ledger, CEO"

[babo]

Decisamente, in questi anni poi grazie a vari hackathon la tecnologia è stata migliorata a tal punto che anche un attacco con accesso fisico al device richieda sforzi immani.

esatto
senza considerare che, devono sapere che hai tanti bitcoin per ripagare lo sforzo immane
quindi se stai zitto e non dici niente e tieni un basso profilo puoi stare doppiamente tranquillo

non rischiano di fare buchi nell'acqua per poche migliaia di euro