آسیب‌پذیری‌های کشف شده در کیف پول‌ سخت‌افزاری لجر جدی نیست

براساس پست رسمی شرکت سازنده کیف پول‌های سخت‌افزاری لجر در روز ۲۸ دسامبر (۷ دی)، این شرکت مدعی شد آسیب‌پذیری‌های کشف شده اخیر در کیف پول‌های سخت‌افزاری مورد جدی نیستند.
 
روز گذشته در ۳۵مین همایش سالانه هکرهای جهان در شهر برلین که اسناد و مدارک نفوذهای امنیتی در آن افشا می‌شود، پژوهشگران مدعی شدند که کیف پول‌های سخت‌افزاری ارز دیجیتال ترزور وان (Trezor One)، لجر نانو اس (Ledger Nano S) و لجر بلو (Ledger Blue) را هک کرده‌اند.
 
در پست منتشر شده از سوی لجر، این شرکت توضیح داده که به نظر می‌رسد آسیب‌پذیری‌های جدی افشاشده از وجود ۳ مسیر حمله خبر می‌دهند، اما طبق گفته آن‌ها این موارد اهمیت چندانی ندارد.
 
طبق گفته این شرکت سازنده کیف پول‌های سخت‌افزاری، دلیل جدی نبودن آسیب‌پذیری‌ها این است که هیچ یک از آن‌ها موفق نشده‌ به سید (Seed) یا پین (PIN) یک دستگاه دزدیده شده دست پیدا کند و دارایی‌های حساس ذخیره شده بر روی این دستگاه امن، دست نخورده باقی مانده‌اند.
 
با استناد به پست منتشر شده لجر، آسیب‌پذیری لجر نانو اس نشان داد که دستکاری فیزیکی این مدل از کیف‌ پول‌های سخت افزاری و نصب بدافزار بر روی کامپیوتر قربانی، می‌تواند منجر شود که مهاجم پس از اینکه پین وارد شد و برنامه بیت کوین بالا آمد، بتواند تراکنش خود را امضا کند.
 
به عقیده لجر این امر کاملاً غیرعملی است و قطعاً یک هکر باانگیزه از حقه‌های موثرتری برای اهداف خود استفاده خواهد کرد. در حالیکه پژوهشگران مدعی شدند آسیب‌پذیری کشف شده به آن‌ها اجازه داده تا تراکنش‌های بدخواهانه را به ST31 (چیپ امنیتی) ارسال کنند و حتی خودشان آن‌ها را تایید کنند.
 
لجر با تکذیب این ادعا، عنوان کرد: سفت‌افزار (Firmware) آن‌ها اسنیک را بر روی MCU در حالت بوت‌لودر اجرا می‌کند. این بدین معنی است که شما باید دکمه سمت چپ را حین بوت شدن فشار دهید و این در حالی است که چیپ امنیتی حتی بوت نشده است.
 
لجر همچنین ادعا کرد که اثبات حمله به لجر بلو مقداری غیرواقعی بوده و قابل اجرا نیست. آن‌ها اظهار داشتند که موقعیت دریافت‌کننده و دستگاه مورد حمله واقع شده باید کاملاً یکسان بوده و همچنین محل کابل USB نیز چون به عنوان یک آنتن عمل می‌کند، بالاتر از همه باشد.
 
در این پست آمده که اگر موقعیت‌ها دقیقاً یکی نباشد، مرتب‌کننده یادگیری ماشین به طور صحیح کار نخواهد کرد. از این رو لجر نتیجه گرفت: این حملات از جهتی واقعاً جالب توجه بود، اما هرگز امکان حدس‌زدن پین شخصی را در شرایط واقعی فراهم نمی‌کند چراکه لازمه آن تکان ندادن دستگاه است.
 
علاوه‌براین به دلیل آسیب‌پذیری رخ داده، لجر اظهار داشت که در بروزرسانی بعدی سفت‌افزار قابلیت صفحه کلید تصادفی را برای پین اضافه خواهد کرد.
 
این شرکت همچنین از اینکه پژوهشگران قواعد امنیتی استاندارد تعیین شده در برنامه جایزه لجر را دنبال نکرده‌اند، اظهار تأسف کرد. بر اساس اظهارات شرکت سازنده کیف پول لجر، راه معمول برای انجام این کار در دنیای امنیت، افشاگری با قبول مسئولیت است. از نظر لجر این مدلی است که هنگام آشکار کردن آسیب‌پذیری‌ها باید به کار گرفته شود و پس از گذشت بازه زمانی منطقی که اجازه رفع این آسیب‌پذیری و خطر برای کاربران را می‌دهد، داده‌های یافت شده عمومی شوند.
 
در ماه نوامبر، لجر اعلام کرد که قصد گسترش‌ در شهر نیویورک را به منظور توسعه سرویس‌های نگه‌داری سازمانی لجر والت (Ledger Vault) دارد. علاوه بر این، شرکت اخیراً توافق‌نامه‌ای را با استارت‌آپ پرداخت ارزهای دیجیتال Crypto.Com امضا کرده که به کاربران اجازه می‌دهد محصولات این شرکت‌ را با ارزهای دیجیتال خریداری کنند.