CoincrispyNoticiasDesarrollador detecta vulnerabilidad en las Ledger Nano S

Gracias al desarrollador Sergey Lappo, se lo logró detectar una falla de seguridad en las Wallets físicas Ledger Nano S, la cual permitía robar los fondos del dispositivo sin que el usuario notara la transacción. “Descubrí esta vulnerabilidad como parte de mi trabajo en Mycelium, en noviembre de 2018. Con la ayuda de Leo Wandersleb pudimos localizar el problema y lo informamos al programa de recompensas de errores de Ledger” apuntó Lappo en su informe....
CoinCrispy CoinCrispy5 meses antes374 min

Gracias al desarrollador Sergey Lappo, se lo logró detectar una falla de seguridad en las Wallets físicas Ledger Nano S, la cual permitía robar los fondos del dispositivo sin que el usuario notara la transacción.

Descubrí esta vulnerabilidad como parte de mi trabajo en Mycelium, en noviembre de 2018. Con la ayuda de Leo Wandersleb pudimos localizar el problema y lo informamos al programa de recompensas de errores de Ledger” apuntó Lappo en su informe. Cabe destacar que, gracia a sus esfuerzos, la vulnerabilidad fue corregida por la empresa.

Lappo sospechó de la vulnerabilidad mientras probaba el uso de diversas wallets físicas para realizar pagos. Allí vio que, tanto Ledger Nano S como Ledger Blue, no emitian confirmaciones al usuario en los cambios de salidas hacia diferentes cuentas, de acuerdo a las direcciones a las que se deseaba pagar.

No preguntar al usuario por la confirmación de la misma nos sorprendió un poco y decidimos comprobar qué rutas de derivación se aceptarían sin avisar al usuario (…) pero las cosas salieron de forma mucho más interesante: ¡a la cartera no le importaba si el cambio (en la salida) iba hacia un cambio de dirección!” señaló Lappo.

Bitcoin Private (BTCP) admitió que se aprovechó vulnerabilidad para crear 2 millones de BTCP

Eso quiere decir que la wallet de Ledger se podía engañar para enviar todos los fondos, de todas las cuentas, sin una advertencia previa. Así pues, el usuario inicia un pago en el software malicioso, todas las monedas se usan como entradas. La Ledger Nano S se deja engañar y acepta un cambio de dirección (este comportamiento erróneo es causado simplemente dejando vacía la ruta de derivación). Seguidamente, el usuario confirma la transacción sin ninguna sospecha en la Ledger y todas las criptomonedas, menos las del pago a realizar, se podían envíar a la nueva dirección proporcionada por el atacante.

Si bien Lappo calificó a esta vulnerabilidad como “crítica”, señaló que luego de la actualización del software de Ledger lanzada en enero, sus usuarios ya no corren este peligro.

Este articulo viene del feed de Coincrispy, puede ver la noticia original en este link https://www.coincrispy.com/2019/03/01/desarrollador-detecta-vulnerabilidad-en-las-ledger-nano-s/. SomosExpanse es un medio para compartir informacion, Derechos y opiniones son ajenas a SomosExpanse.com

CoinCrispy

CoinCrispy

Hemos hemos desarrollado CoinCrispy, para ayudar al usuario a entender mejor y aprovechar al máximo las tecnologías que impulsan estos nuevos paradigmas desde una perspectiva global.

Deja una respuesta

Tu dirección de correo no será publicada. Campos requeridos están marcados *