谨防钓鱼式攻击,Ledger 决不会要求您提供 24 词恢复短语。切勿告诉他人。 了解更多

OLED 屏幕漏洞 - 常见问题解答

2019 年 5 月 7 日,安全研究员 Christian Reitter 通过赏金计划联系我们并告知,使用 OLED 屏幕的硬件钱包存在漏洞(包括 Ledger Nano S 和 Ledger Nano X)。此漏洞被视作不严重,不过我们已经在 Ledger Nano S 固件版本 1.6 中实施了对策。

请在下方找到常见问题的答案。请参考我们的博客文章了解该漏洞的完整详情。

我的加密资产在 Ledger 硬件钱包中是否仍然安全?
安全。当前漏洞仅在理论上可利用,但尚未在实践中得到证明。使用该漏洞攻击用户比安装隐藏摄像头拍摄用户输入识别码或初始化种子更不实用。因此,该漏洞被视为“不严重”。

屏幕漏洞遭到利用的概率有多大?
非常低。潜在的攻击者必须制作假冒的 USB 线,该线缆还要适配用于分析硬件钱包功耗的电子设备。然后,他们需要攻击 Ledger 的供应链,并且在不引起注意的情况下更换包装盒中的原装 USB 线。此外,他们还必须侵入受害者的计算机,使其能够在设置期间与 Ledger 硬件钱包进行通信,同时能够可靠地检测到屏幕显示信息并将信息发送至外部服务器。总而言之,这比安装隐藏摄像头来监视受害者更加不切实际。

Ledger 将采取哪些措施降低漏洞风险?
我们已经开发出两项对策,可显著降低屏幕显示内容与功耗分析所能捕获内容之间的相关性。相关对策已写入 Ledger Nano S 固件版本 1.6,将在下次固件更新时安装到 Ledger Nano X 上。请参考我们的博客文章了解技术详情。

如何防止受到此漏洞的影响?
今天所解决的漏洞涉及在用户与设备交互时对用户进行监视。请注意,无论技术对策有多少,此类漏洞都无法根除。但您可以确保始终为 Ledger 设备安装最新版本的固件。

如果用户对此极为担忧,我们建议使用壁式充电器,从而避免在设置过程中将 Ledger Nano S 连接到不安全的计算机,对于 Ledger Nano X,则可以仅使用电池供电的设备。我们从未发现任何通过硬件植入进行攻击的证据,但如果您对此感到担心,也可以使用自己的 USB 线。

Ledger Blue 是否受到影响?
此漏洞适用于 OLED 屏幕。由于 Ledger Blue 使用的是 LCD 屏幕,因此所披露的漏洞对其不造成影响。

此漏洞是否已遭利用?
我们未发现任何表明此漏洞已遭利用的证据。

我有其他问题
请随时联系 Ledger 客服。我们的团队将很高兴为您提供帮助。

这篇文章有帮助吗?