Oltalama girişimlerine karşı dikkatli olun, Ledger sizden 24 kelimelik kurtarma ifadenizi asla istemez. Onu asla kimseyle paylaşmayın. Daha fazla bilgi

OLED Ekran güvenliği açığı - SSS

Güvenlik araştırmacısı Christian Reitter, 7 Mayıs 2019 tarihinde Ödül Programımız aracılığıyla bizimle iletişime geçerek, OLED ekranların kullanıldığı Ledger Nano S ve Ledger Nano X gibi donanım cüzdanlarındaki bir güvenlik açığı konusunda bizi bilgilendirdi. Mevzubahis güvenlik açığı kritik olmayan seviyede olsa da Ledger Nano S donanım yazılımı 1.6 sürümünde bu açıkla ilgili güvenlik önlemleri ekledik. 

Sıkça sorulan soruların cevaplarını aşağıda bulabilirsiniz. Güvenlik açığı hakkında daha fazla bilgi için lütfen blog yazımızı okuyun.

Ledger donanım cüzdanındaki kripto varlıklarım hâlâ güvende mi?
Evet. Söz konusu güvenlik açığı teorik olarak geçerli olsa da pratikte herhangi bir örneği yaşanmadı. Kullanıcılara saldırı için kullanmak, kullanıcı PIN kodunu girerken veya seed'i başlatırken gizli bir kamerayla kaydetmekten çok daha zahmetli olacaktır. Dolayısıyla, bu güvenlik açığı kritik olmayan düzeyde olarak nitelendirildi.

Birisinin ekran güvenlik açığından faydalanma ihtimali nedir?
Çok düşük bir ihtimal. Potansiyel bir saldırganın, donanım cüzdanının güç kullanımını ölçmekte kullanılan elektronik aygıtlara uyacak, sahte USB kabloları yapması gerekir. Ardından, cihaz kutusundaki orijinal USB kablosunu kimse görmeden değiştirmek için Ledger'ın tedarik zincirine saldırmaları gerekir. Bunların dışında, Ledger donanım cüzdanıyla ilk kurulum sırasında bağlantı kurmak, ekranda görüntülenen bilgileri doğru bir şekilde tespit etmek ve bunu harici bir sunucuya göndermek için kurbanın bilgisayarını da ele geçirmeleri gerekir. Kısacası, kurbanı gözetlemek için gizli bir kamera yerleştirmekten çok daha fazla zahmete girmeyi gerektirecektir. 

Ledger bu güvenlik açığını kapatmak için ne yapacak?
Ekranda gösterilen bilgiler ile güç tüketimi analizi vasıtasıyla elde edebilecek bilgiler arasındaki bağı önemli ölçüde azaltmak için iki güvenlik önlemi aldık. Bu güvenlik önlemleri, Ledger Nano S donanım yazılımı 1.6 sürümüne dâhil edildi ve Ledger Nano X'e de bir sonraki donanım yazılımı güncellemesinde gelecek. Teknik detayları öğrenmek için lütfen blog yazımızı okuyun.

Bu güvenlik açığından etkilenmemek için ne yapmalıyım?
Söz konusu güvenlik açığı, kullanıcılar cihazlarıyla etkileşime girerken gözetlemeyi içerir. Bu tür güvenlik açıklarının, ne kadar teknolojik önlem alınırsa alınsın, hiçbir zaman tamamen çözülemeyeceğini lütfen göz önünde bulundurun. Ledger cihazınızı her zaman en son donanım yazılımı sürümüyle kullanmanız önemlidir.

Bu sorunla ilgili endişe duyan kullanıcıların, Ledger Nano S cihazlarını kurulum sırasında güvensiz bir bilgisayara bağlamamak için duvar şarjı kullanmalarını, Ledger Nano X kullanıcılarının ise cihazı sadece pil gücüyle kullanmalarını tavsiye ederiz. Donanım eklentileri kullanılarak saldırı yapılmasına daha önce şahit olmadık ancak bu konuda endişeleniyorsanız kendi USB kablonuzu da kullanabilirsiniz.

Ledger Blue etkilendi mi?
Ekran güvenlik açığı sadece OLED ekranlar için geçerlidir. Ledger Blue cihazlarında LCD ekran kullanıldığı için mevzubahis güvenlik açığından etkilenmez.

Bu güvenlik açığı istismar edildi mi?
Bu güvenlik açığının istismar edildiğine dair hiçbir kanıt görmedik. 

Bir sorum daha var
Lütfen istediğiniz zaman Ledger Destek ekibine ulaşmaktan çekinmeyin. Ekibimiz size memnuniyetle yardımcı olacaktır.

Bu makale yardımcı oldu mu?