http://www.7klian.com

账本实物钱包安全吗?

几个月前,我发表了一篇文章,我将物理钱包或硬件钱包作为一种更安全的选择,以使我们的加密货币领先于交易所或软件钱包或钱包。 我仍然认为相同,尽管没有任何东西受到100%的保护。

如果我们访问最大的实物钱包营销商之一Ledger网站,我们可以读到:“保持资产安全。 具有最高安全标准的实体钱包”。 好吧,几天前,他们宣布并解决了几个漏洞。 在其网站上已经有Ledger Nano X和Ledger Nano S的新更新。

固件升级? 那是什么意思?好吧,用几句话来说,使任何电子设备都能正常工作的灵魂已经更新。 因此,我们以一个示例来理解它,在任何一台计算机中,由于纽扣电池的存在,芯片始终保持插入状态,并且存储了固件,其名称为的BIOS。 现在,您可以采取最佳安全措施,如果固件中存在漏洞,它们将无法为您提供帮助。

来自手机,计算机,实物钱包,智能电视的SIM卡,几乎所有技术都具有固件,网络犯罪分子每次试图利用它时,都是因为他们知道没人,用户或公司都不会对其进行更新。 我给的最好的建议是更新设备。

一个新的手机将提供改进和更新的固件软件,以及一个新的实体钱包模型。 如果您负担得起的话,这是个好习惯,因为这还将使加密货币保留在不会损坏的新物理硬件上。

我们的加密货币是否有此漏洞的危险?

2020年8月7日,Ledger在其网站博客上发布了第一个Ledger Nano X更新,固件版本1.2.4-4可用,并在Ledger Nano X推出一年后提供了新的安全性改进。 MCU芯??片也已更新至版本2.10。

他们解释说,此更新是由于他们认为是次要漏洞导致的,并以粗体显示:请放心,您的恢复短语,私钥和资金不会受到威胁。 它还表示即使不使用更新程序,硬件也很安全,并为我们提供了查看链接以查看有关其所有信息的选项。

利用此更新,他们实现了一些改进。 现在,对于Ledger Nano X,在更新过程中无需将其拔出。 已安装的应用程序将被卸载,然后自动重新安装。

更新必须通过Ledger Live Desktop完成,这对团队来说是一个艰难的决定,但这是因为这是尽快获得更新的唯一方法。作为网络安全专家,我建议安装此更新。

请记住,Ledger钱包有自己的操作系统,称为BOLOS。 它们还具有两个芯片(MCU和称为Secure Element)以及SIM卡,护照和信用卡,以最大程度地保护敏感数据(如生物识别或私钥)的安全性。 它们是非常强大的系统,很难破解,但是网络罪犯知道背后有很多钱,他们将毫无疑问地尝试利用任何漏洞。

为什么Ledger是一个较小的漏洞?

如其网站上所述,该漏洞影响MCU芯片,而不影响存储所有信息的安全元件。 因此,由于不影响安全元素,因此无法提取12个单词的短语,PIN或私钥。

除了利用此漏洞之外,您还必须对Ledger Nano X具有物理访问权限,而不是说一旦在其上安装了任何应用程序,便需要大量的技术知识。 通过更新,他们可以确保修补此漏洞。

显然,根据他们的博客,提供任何Ledger Nano X时,在安装应用程序时会禁用JTAG / SWD调试协议。 但是,即使事先安装了应用程序,也可以事先通过物理方式访问物理钱包的人始终保持启用调试选项。

Ledger是先验知识,指出如何感染MCU芯片,这提醒我们,不可能访问包含涉及敏感数据的加密信息的安全元素。 通过更新,调试模式将永久禁用。

Ledger Nano X修复了哪些其他问题?

显然,由于MCU芯片和OLED屏幕之间的错误,Nano X用户有可能被社会工程误导。 Kraken小组发现可以从MCU芯片关闭OLED屏幕。 可以关闭用户的屏幕,但键盘将保持活动状态,因此可以继续处理操作,从而诱使用户接受错误的交易。

我作为网络安全专家和IT专家的观点

我强烈建议Ledger Nano X用户尽快进行更新,同时也建议2020年8月11日开始提供Ledger NanoS。

的确,该漏洞的发生率较低,因为一方面它会影响不存储敏感数据的MCU芯片,另一方面它是基于对钱包的物理访问(不是通过远程信息处理手段),但是任何漏洞都可以利用,这是一个漏洞。风险。 此外,除了符合标准之外,它还没有安装任何应用程序而在工厂生产,成功率很困难,但并非不可能。

我还建议直接从制造商或高度信任的地方购买Ledger NanoX。 如果您是通过中介或二手购买的,则可能会冒险插入某种类型的恶意软件,尽管该恶意软件无法直接访问您的敏感数据,但可以间接进行。

安装诸如Keylogger之类的恶意软件可以读取击键并通过电子邮件发送给网络罪犯。

即使这样,与其他系统相比,我仍然认为硬件钱包非常安全。 以下是指向官方网站的链接,其中逐步说明了更新的完成方式。

我借此机会介绍我的新书“比特币帝国”我相信,像我这样对加密货币充满热情的人都会发现它很有趣。

有关如何获取它的更多信息:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读