احذر من هجمات اصطياد المعلومات، لن تطلب Ledger منك أبداً ال24 كلمة المكونة لعبارة الاسترداد الخاصة بك. لا تشاركهم مع أحد أبداً. تعرّف على المزيد

ضعف في شاشة OLED - الأسئلة الأكثر تداولاً

في 7 مايو 2019، تواصل معنا الباحث الأمني كريستيان ريتر من خلال برنامج المكافآت (bounty) لدينا لإبلاغنا عن ثغرة أمنية في محافظ الأجهزة التي تستخدم شاشة OLED بما في ذلك Ledger Nano S وLedger Nano X. على الرغم من اعتبار هذه الثغرة الأمنية غير خطرة، فقد قمنا بتنفيذ إجراءات مضادة في الإصدار 1.6 من برنامج Ledger Nano S الثابت

يُرجى الاطلاع على إجابات الأسئلة الشائعة أدناه. للحصول على تفاصيل كاملة حول هذه الثغرة الأمنية، يُرجى الرجوع إلى منشورنا على المدونة.

هل ما تزال أصولي المشفرة آمنة في محفظة أجهزة Ledger؟
نعم. إن الضعف الحالي ممكن من الناحية النظرية، لكن لم يتم إثباته في الممارسة العملية. وسيكون استخدامه لمهاجمة المستخدمين أقل فاعلية من تثبيت كاميرا خفية للتسجيل للمستخدم أثناء إدخال كود PIN أو بدأ البذرة. لذا، يعتبر الضعف هذا غير خطر.

ما احتمالات استغلال شخص ما لضعف الشاشة؟
الاحتمالات منخفضة للغاية. سيتعين على المهاجم المحتمل أن يصنع كبلات USB مزيفة تناسب الإلكترونيات المطلوبة لقياس استخدام الطاقة لمحفظة الأجهزة. وسيحتاج بعد ذلك إلى مهاجمة سلسلة توريد Ledger لاستبدال كبل USB الأصلي الموجود في العلبة دون أن يكون ذلك ملحوظاً. علاوة على ذلك، سيتعين عليه اختراق كمبيوتر الضحية حتى يتمكن من الاتصال بمحفظة أجهزة Ledger أثناء الإعداد، واكتشاف المعلومات المعروضة على الشاشة بشكل موثوق وإرسالها إلى خادم خارجي. بوجه عام، هذه الإجراءات غير عملية بدرجة كبيرة تفوق افتراض تثبيت كاميرا خفية للتجسس على الضحية. 

ما الذي ستفعله Ledger للحد من تأثير هذا الضعف؟
لقد قمنا بتطوير إجراءين مضادين للتقليل بدرجة كبيرة من تبعية ما يتم عرضه على الشاشة وما يمكن التقاطه من خلال تحليل استهلاك الطاقة. تم تضمين الإجراءات المضادة في برنامج Ledger Nano S الثابت 1.6 وسيصل إلى Ledger Nano X مع تحديثه للبرنامج الثابت التالي. يُرجى الرجوع إلى منشورنا على المدونة للحصول على التفاصيل التقنية.

كيف يمكنني منع التأثر بالضعف هذا؟
يتضمن الضعف الذي يتم تناوله اليوم التجسس على المستخدمين عند تفاعلهم مع الجهاز. يُرجى العلم أنه لا يمكن حل هذه الفئة من الضعف بالكامل، مهما كان عدد الإجراءات التقنية المضادة. يمكنك التأكد دائماً من تثبيت أحدث إصدار من البرنامج الثابت على جهازك Ledger.

ننصح شديدي التوجّس باستخدام شاحن حائط لتجنب توصيل Ledger Nano S بكمبيوتر غير آمن أثناء الإعداد، أو في حالة Ledger Nano X تشغيل الجهاز على طاقة البطارية فقط. لم نشهد أبداً دليلاً على وقوع هجمات باستخدام أجهزة مزروعة، ولكن يمكنك أيضاً استخدام كبل USB الخاص بك إذا كنت قلقاً حيال هذا.

هل يتأثر Ledger Blue؟
ينطبق ضعف الشاشة على شاشات OLED. ولأن Ledger Blue يتميز بشاشة LCD، فإنه لا يتأثر بالضعف التي تم الكشف عنه.

هل تم استغلال هذا الضعف؟
لم نشهد دليلاً على استغلال هذا الضعف. 

لدي سؤال آخر
يُرجى التواصل مع دعم Ledger في أي وقت. فريقنا سيساعدك بكل سرور.

هل كان هذا المقال مفيداً؟