Ответы на популярные вопросы об уязвимости OLED-экранов

7 мая 2019 года исследователь безопасности Кристиан Рейтер связался с нами в рамках баунти-программы. Он сообщил об уязвимости аппаратных кошельков с OLED-экранами, к которым относятся Ledger Nano S и Ledger Nano X. И хотя уязвимость была признана некритической, мы внедрили дополнительные меры защиты в прошивке Ledger Nano S версии 1.6.

Ответы на наиболее популярные вопросы по теме доступны ниже. Все подробности об уязвимости содержатся в специальном материале в нашем блоге.

В безопасности ли мои криптоактивы, которые находятся на аппаратном кошельке Ledger?
Да. Использование данной уязвимости возможно в теории, однако на практике этого не было. По сути применение данной схемы будет менее эффективным, чем банальная установка скрытой камеры для запечатления ввода ПИН-кода или инициализации сида пользователем. В связи с этим уязвимость считается некритической.

Какова вероятность того, что кто-то воспользуется данной уязвимостью экрана?
Вероятность крайне мала. Потенциальному злоумышленнику придётся изготовить поддельные USB-кабели в соответствии с потреблением энергии аппаратным кошельком. Затем ему придётся вмешаться в цепочку поставок Ledger, чтобы незаметно заменить оригинальный USB-кабель в упаковке устройства. Вдобавок злоумышленнику придётся скомпрометировать компьютер жертвы, чтобы взаимодействовать с аппаратным кошельком Ledger во время настройки, видеть информацию на экране, а также отправлять её на внешний сервер. Поэтому в целом такая тактика куда более непрактична, чем установка скрытой камеры для слежки за жертвой. 

Что сделали специалисты Ledger для снижения потенциала использования уязвимости?
Мы создали два нововведения, которые значительно снижают зависимость между отображаемой информацией на экране и тем, что может быть зафиксировано в результате анализа энергопотребления устройства. Нововведения были внедрены в прошивку Ledger Nano S версии 1.6 и появятся в следующем обновлении прошивки Ledger Nano X. Все технические подробности содержатся в специальном материале в нашем блоге.

Как не стать возможной жертвой данной уязвимости?
Данная уязвимость требует слежки за пользователями аппаратных кошельков во время их взаимодействия с устройствами. Важно понимать, что подобные уязвимости нельзя искоренить полностью, какими бы ни были технологические меры противодействия. При этом в данном случае важно обновлять прошивку устройства Ledger до последней версии.

Рекомендуем наиболее осторожным пользователям использовать обычную розетку, чтобы не подключать Ledger Nano S к небезопасному ПК во время настройки устройства. Также в случае с Ledger Nano X можно использовать устройство от питания аккумулятора. При этом мы никогда не сталкивались с атаками с применением аппаратных имплантатов. Однако при желании можно использовать собственный USB-кабель.

Затронула ли проблема Ledger Blue?
Уязвимость экранов затрагивает лишь OLED-экраны. Поскольку у Ledger Blue LCD-экран, проблема к нему не относится.

Использовали ли злоумышленники эту уязвимость?
Мы не сталкивались со случаями использования данной уязвимости. 

У меня есть вопрос
В таком случае обратитесь в Поддержку Ledger в любое время. Мы с удовольствием вам поможем.

Была ли эта статья полезной?