链闻消息,安全研究人员 Monokh 撰文披露加密货币钱包 Ledger 硬件钱包存在的安全漏洞。Monokh 指出,该漏洞可能导致用户资金被盗。Ledger 会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1. 打开莱特币应用程序;2. 获取比特币隔离见证地址;3. 根据地址查看 UTXOs;4. 发起比特币交易并发送给 Ledger 设备要求签名;5. 得到有效的已签名比特币交易信息。Ledger 本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和 App 版本均受到此漏洞影响。Monokh 建议 Ledger 在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019 年 1 月份,Monokh 最初于 2019 年 1 月份向 Ledger 披露与隐私相关的安全漏洞,随后,Ledger 更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019 年 4 月份,Monokh 再次联系 Ledger 要求更新应用程序,但未得到反馈。今年 5 月份,Monokh 将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger 称正在调查该漏洞。之后 Monokh 多次联系 Ledger 并要求披露漏洞并对其进行修复,但未得到回应,Ledger 也没有修复或披露相关漏洞。

来源链接