ETHEREVOLUTION: INSIEME NEL FUTURO

Menu
Home » SCAM criptovalute » Vulnerabilità negli hardware wallet Ledger: pericolo per le criptovalute!

Vulnerabilità negli hardware wallet Ledger: pericolo per le criptovalute!

06 Febbraio 2018 00:01
Tempo di lettura: 2 min.
06 Febbraio 2018 00:01
Giuseppe Brogna

Gli hardware wallet sono considerati lo strumento più sicuro per la conservazione delle criptovalute, in luogo del loro storage sugli exchange o su altre tipologie di wallet esposti ai rischi legati alle macchine connesse a Internet.

Tra i più celebri, vi sono quelli prodotti da Ledger, come ad esempio il Ledger Nano S di cui abbiamo messo a disposizione un’utilissima guida per il suo utilizzo.

La particolarità dei Ledger consiste nel fatto che le chiavi private sono memorizzate in un’area di memoria tamper-proof, a cui accede solo l’hardware direttamente da chiamate del suo stesso O.S. Sennonché, tale meccanismo non esclude altri vettori di attacco.

Infatti, il noto produttore di hardware wallet per criptovalute, Ledger, secondo un rapporto pubblicato sabato 3 febbraio, ha scoperto una vulnerabilità che colpisce tutti i suoi dispositivi.

Tale vulnerabilità, in difetto delle dovute precauzioni, può favorire il furto dei fondi che gli utenti intendono ricevere.

Secondo il summenzionato rapporto, un attacco “man in the middle” può essere innescato quando l’utente tenta di generare un indirizzo per ricevere i fondi nel proprio wallet Ledger.

Se il computer utilizzato durante questo processo è infetto da malware, l’utente malintenzionato può sostituire segretamente il codice responsabile della generazione dell’indirizzo, provocando l’invio di tutti i futuri depositi al wallet dell’attaccante.

Ma non è tutto fuori controllo. Infatti, per i possessori dei loro wallet, Ledger ha anche rivelato come evitare l’attacco “man in the middle”.

Secondo il rapporto, gli utenti dovrebbero sfruttare una funzionalità “non documentata” del wallet. Tale funzionalità consente di visualizzare l’indirizzo di ricezione sul display fisico del wallet.

Come mostrato nella foto sopra, facendo clic sul pulsante del monitor, in basso a sinistra del menu “Ricevi Bitcoin”, e confermando l’indirizzo sul display dell’hardware wallet ogni volta che ne viene generato uno nuovo, gli utenti possono assicurarsi che l’indirizzo non sia stato manomesso.

Però il rapporto indica che questa feature non è tassativa, sicché non è applicata in via autonoma dall’interfaccia di Ledger, ponendo la responsabilità finale per la sicurezza dei fondi sugli utenti stessi.

Sfortunatamente, però, questa feature esiste soltanto nell’app Bitcoin.

Se si utilizza l’app Ethereum, nel rapporto si consiglia di avviare il wallet attraverso un sistema operativo Live su CD, che è garantito essere privo di malware. Ciò almeno fino a quando questo problema non riceva una qualche sorta di fix.

Come abbiamo ricordato in apertura, gli hardware wallet sono considerati uno dei modi più sicuri per “blindare” le criptovalute, anziché tenerle su un exchange o un wallet online.

Tuttavia, con oltre un milione di utenti di Ledger colpiti dal vettore di attacco appena scoperto, diventa chiaro che persino avere un hardware wallet non rende invincibili.

Pertanto, l’applicazione di una qualsivoglia tecnologia non garantisce alcuna sicurezza assoluta. È, invece, necessario implementare un processo di verifica e testare periodicamente i livelli di sicurezza, al fine di adeguare di conseguenza lo “strumento”.

La sicurezza non è una tecnologia, bensì un processo!

Clicca qui per accedere alla guida gratuita su come comprare, vendere, trasferire e conservare in sicurezza gli Ether.

Condividi
  • 22
    Shares

CATEGORIE:

SCAM criptovaluteWallet


Giuseppe Brogna

Giuseppe è laureato in giurisprudenza, da sempre appassionato di tecnologia e studioso di tematiche economiche. Stimolato dal potenziale impatto economico e sociale, si approccia al mondo delle DLT; matura particolari interessi nella nuova finanza hitech legata alle tecnologie del ledger distribuito.


  1. ha commentato:

    Riporto qui una parte dell’articolo che non mi è chiara.

    “Secondo il summenzionato rapporto, un attacco “man in the middle” può essere innescato quando l’utente tenta di generare un indirizzo per ricevere i fondi nel proprio wallet Ledger.”

    Premetto che non ho bitcoin ma ho soltanto ether e probabilmente io non conosco bene come funziona il mio Ledger ma quando l’ho inizializzato non ho dovuto creare nessun indirizzo perchè lui me ne ha creato 5 da solo senza che io facessi nulla e con quelli io entro nel sito myetherwallet.

    Vorrei chiedere cosa significa “creare un nuovo indirizzo”??
    Poi chiedo se questo attacco vale solo per gli indirizzi bitcoin o anche per gli indirizzi ether su myetherwallet??

    Grazie

    • ha commentato

      La spiegazione da parte del rapporto sembra incentrata principalmente su bitcoin.

      Comunque, per quanto riguarda Ethereum si afferma:
      If you’re using the Ethereum App – Treat the ledger hardware wallet the same as any other software-based wallet, and use it only on a Live CD operating system that is guaranteed to be malware-free. At least until this issue receives some kind of fix. (Riferendosi al fatto che la feature della visualizzazione su display esiste solo per l’app Bitcoin).

      Effettivamente non parla della gestione su myetherwallet. E andando a memoria, mi sembra che su myetherwallet ci sia una funzione che consente di visualizzare l’indirizzo sul display del Ledger (ma non ricordo bene).

      In ogni caso, ti consiglio di dare una letta al rapporto, a questo link https://www.docdroid.net/Jug5LX3/ledger-receive-address-attack.pdf

      Se hai dubbi particolari, invia un e mail al supporto di Ledger.

  2. ha commentato:

    Non ho capito se questo attacco può avvenire per chi accede a myethervallet tramite ledger nano s.
    Perdonate …ma sono un neofita

    • ha commentato

      Con eth l’indirizzo è sempre lo stesso, e magari ce l’hai salvato anche altrove o lo ricordi.
      Non devi chiederlo al ledger per ogni transazione.
      Il problema è per gli indirizzi di ricezione che possono venire modificati (come per Bitcoin)
      Comunque, per stare tranquillo, se chiedi da myetherwallet che l’indirizzo sia mostrato anche sulla chiavetta, puoi verificare.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Condividi questo articolo

Invia questo articolo ad un amico