Investigador de seguridad de 15 años comparte el error que encontró con todas las personas que estén interesadas en descubrirlo. A continuación te explicaremos un poco más del tema.

Investigador de seguridad de 15 años comparte exploit Wallet Exploit

El 20 de marzo, Ledger lanzó una actualización de su firmware, 1.4.1, acompañada de una publicación de blog que prometía «una inmersión profunda en las soluciones de seguridad».

  • Tras un proceso de divulgación transparente y responsable, estamos realizando una evaluación detallada de los vectores de ataque fijos que corregía el firmware 1.4, que inicialmente fueron informados por tres investigadores de seguridad. Como la publicación de estos detalles técnicos puede elevar el nivel de amenaza de los dispositivos sin parche, recomendamos encarecidamente a nuestros usuarios que actualicen su firmware

Es la hazaña descubierta por Saleem Rashid la que ha recogido la mayor atención, tanto a causa de su tierna edad, como su publicación de hoy de un explicador detallado sobre cómo logró la hazaña.

  • Un atacante puede aprovechar esta vulnerabilidad para comprometer el dispositivo antes de que el usuario lo reciba, o para robar claves privadas del dispositivo físicamente o, en algunos casos, de forma remota
  • He demostrado este ataque en un Ledger Nano S. real. Además, envié el código fuente a Ledger hace unos meses, para que pudieran reproducirlo». También dijo en un blog de seguridad que «[Ledger] hace que sea tan fácil abra el dispositivo para que pueda tomar su uña y abrirla [para alterarla]

El investigador adolescente es de la opinión de que Ledger estaba tratando de restar importancia a la seriedad de la hazaña que había descubierto. Publicar un informe completo y franco de cómo rompió la billetera Ledger, y renunciando a su derecho a una recompensa, no ha hecho daño a su reputación ni a su seguidor de Twitter tampoco.

Saleem Rashid es inteligente más allá de sus años, y su artículo sobre el exploit es largo pero fascinante para cualquiera que tenga interés en tales asuntos.

Enlace | Ledger

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *