Nhà nghiên cứu chứng minh ví Ledger Nano S dễ bị tấn công như thế nào?

Vận may không phải lúc nào cũng mỉm cười với nhà sản xuất ví phần cứng Ledger.

Vài tuần sau khi công ty xác nhận lỗ hổng ví khiến họ dễ bị tấn công giữa chừng, nhà nghiên cứu bảo mật độc lập Saleem Rashid chứng minh một hacker vectơ tấn công mới có thể đột kích Ledger Nano S và đánh cắp tiền coin quý giá của bạn – cả vật lý và từ xa. Rashid giải thích trong một bài đăng trên blog:

“Lỗ hổng phát sinh do việc sử dụng kiến ​​trúc tùy chỉnh của Ledger để khắc phục nhiều hạn chế trên Secure Element. Kẻ tấn công có thể khai thác lỗ hổng này để xâm phạm thiết bị trước khi người dùng nhận được coin hoặc đánh cắp các khóa riêng tư từ thiết bị vật lý hoặc từ xa”.

Nhà nghiên cứu đã phác thảo ít nhất 3 vectơ tấn công riêng biệt, nhưng báo cáo của anh ta tập trung vào trường hợp “tấn công chuỗi cung ứng” trên mạng mà không yêu cầu lây nhiễm phần mềm độc hại bổ sung vào máy tính mục tiêu và cũng không yêu cầu người dùng xác nhận bất kỳ giao dịch nào.

Như Rashid lưu ý, Nano S được trang bị 2 bộ vi điều khiển riêng biệt. Một là bộ vi điều khiển lưu trữ khóa riêng tư, dữ liệu bí mật khác và cái còn lại đóng vai trò là proxy để hỗ trợ chức năng hiển thị, các nút và giao diện USB.

Trong thiết lập hiện tại, vi điều khiển thứ nhất chỉ có thể giao tiếp trực tiếp với đơn vị thứ hai, nhưng đơn vị này có thể giao tiếp với các thiết bị ngoại vi thay mặt cho đơn vị thứ nhất.

Theo Rashid, vấn đề không giống như vi điều khiển thứ nhất có thể thực hiện chứng thực mật mã để xác định xem thiết bị có chạy phần mềm Ledger chính hãng hay không vì vi điều khiển thứ hai không có cách nào xác nhận thông tin đó vì nó không an toàn.

Nhà nghiên cứu chỉ ra rằng công ty thực sự đã thực hiện một số cơ chế chống giả mạo phần cứng và phần mềm, nhưng nhanh chóng lưu ý rằng do tính chất không an toàn của vi điều khiển thứ hai, quá trình xác minh thực tế là vô ích ngay từ đầu.

Điều này có nghĩa là người dùng không có kỹ thuật bị mắc kẹt với một thiết bị dễ bị tấn công, nhưng không có cách nào dễ dàng xác nhận thiết bị của họ đã bị giả mạo. Điều tồi tệ hơn là Ledger không cung cấp bao bì chống hàng giả vì các thiết bị của nó được chế tạo để ngăn chặn bất kỳ sự can thiệp hoặc spoofing nào như vậy. Rashid viết:

“Kể từ khi kẻ tấn công kiểm soát các nút hiển thị và phần cứng đáng tin cậy, khó để phát hiện và loại bỏ trình khai thác được viết hoàn chỉnh từ thiết bị”.

Rashid đã tải lên một video demo như một bằng chứng về khái niệm và bạn có thể xem đoạn phim ở đây.

Trong khi CEO Eric Larchevêque đã hạ thấp mức độ nghiêm trọng của lỗ hổng trong các bình luận trên Reddit, Ledger đã phát hành bản cập nhật firmware (1.4.1) nhằm giảm thiểu các thiếu sót về kiến trúc của Nano S. Bạn có thể lấy bản vá ở đây.

Trên thực tế, chính Rashid đã thúc giục người dùng nhận được bản cập nhật càng sớm càng tốt.

As one of the security researchers, I urge to update now. This article doesn’t make it clear enough how dangerous this issue can be.

Potential issues include compromised recovery seed generation or private key extraction. https://t.co/Z2WGFZnFAA

— Saleem Rashid (@saleemrash1d) 6 tháng 3, 2018

“Là một trong những nhà nghiên cứu bảo mật, tôi mong muốn cập nhật ngay bây giờ. Bài viết này không làm rõ đủ mức độ nguy hiểm của vấn đề.

Các vấn đề tiềm ẩn bao gồm tạo hạt phục hồi bị xâm phạm hoặc khai thác khóa riêng tư”

Rashid cảnh báo thêm rằng Ledger Blue mới có chức năng giống hệt với Nano S vẫn chưa có bản cập nhật firmware. Dù gì đi nữa, nhà nghiên cứu trước tiên phải thừa nhận rằng anh ta đã không có cơ hội tìm hiểu sâu về kiến trúc của Blue, vì vậy có khả năng thiết bị không dễ bị khai thác.

Ít nhất đây là lần thứ hai nhà sản xuất ví tiền điện tử của Pháp bị phê bình vì thiết bị thiếu bảo mật. Vài tuần trước, đã có tin tức nói về lỗ hổng trong ví phần cứng Ledger, cho phép lây nhiễm phần mềm độc hại được thiết kế để lừa người dùng vô tình gửi tiền điện tử của họ cho hacker.

Mặc dù công ty cuối cùng đã xác nhận vấn đề nhưng họ nói thêm là “không có bằng chứng nào về việc có người trong cộng đồng Ledger bị ảnh hưởng bởi nó”.

Sau đó, họ tiếp tục hạ thấp mức độ nghiêm trọng của vectơ tấn công và lập luận rằng “nó là một vấn đề toàn ngành”. Một phát ngôn viên của Ledger đã nói với TNW qua email trước đó:

“Tất cả các ví phần cứng đều bị ảnh hưởng. Đây không phải là lỗ hổng của thiết bị, nhưng là một lời nhắc nhở về thực tế bạn không thể tin tưởng vào những gì bạn nhìn thấy trên màn hình máy tính”.

Trong khi đó, những người tò mò về tất cả các chi tiết kỹ thuật cụ thể của lỗ hổng có thể xem qua báo cáo đầy đủ trên blog chính thức của Rashid.

Thật thú vị, giám đốc an ninh Charles Guillemet của Ledger sau khi đọc được tin tức đã lên tiếng phản đối một số quan điểm của Rashid. Cụ thể:

 “Kiến trúc Ledger Nano được xây dựng xoay quanh yếu tố bảo mật: chip an toàn. Bộ vi điều khiển cũng đảm nhận phần proxy USB và tương tác với các nút cũng như màn hình. Việc xác thực vi điều khiển do chip bảo mật thực hiện”.

Ông nói thêm:

“Bằng chứng khái niệm của Saleem là một scammer bán lại truy cập vào thiết bị trước khi người dùng thiết lập nó có khả năng tải phần mềm độc hại trên vi điều khiển, cho phép đánh lừa người dùng trong quá trình onboard”.

Guillemet cũng nói rõ rằng Ledger phân phối hầu hết các thiết bị của mình thông qua “các đại lý bán lẻ chuyên nghiệp”.

“Chúng tôi trực tiếp bán phần lớn các thiết bị. Đối với các đại lý chính thức, họ được lựa chọn trong số các đại lý chuyên nghiệp và được sàng lọc dựa trên quy trình KYC kỹ lưỡng, có xem xét đến chuyên môn kỹ thuật về tiền điện tử”.

Ngoài ra, các thiết bị Ledger hoạt động dựa trên yếu tố bảo mật, chip bảo mật hoặc tương tự có khả năng bảo vệ hộ chiếu hoặc thẻ tín dụng. Đồng thời, bản cập nhật firmware (1.4.1) giúp loại bỏ lỗ hổng.

Đến cuối cùng, Rashid một lần nữa nhấn mạnh mặc dù firmware thực sự giảm thiểu rủi ro liên quan nhưng có khả năng lỗ hổng vẫn có thể bị khai thác.

• [Cảnh báo] Trang web lừa đảo ví Ledger xuất hiện trên kết quả tìm kiếm của Google
• LedgerX cho rằng cựu chủ tịch CFTC trì hoãn phê duyệt vì ‘động cơ cá nhân’

Thùy Trang

    Tạp chí Bitcoin | Thenextweb