Księga jest pod ostrzałem, ponieważ rzekomo ujawniła frazy nasion użytkownika

Księga jest pod ostrzałem, ponieważ rzekomo ujawniła frazy nasion użytkownika

Dostawca portfela sprzętowego kryptograficznego Ledger zebrał gwałtowne reakcje z bazy użytkowników online po opublikowaniu kontrowersyjnej aktualizacji, wielu obawia się, że producent ma duże luki w zakresie bezpieczeństwa.

Ledger twierdził, że nowa funkcjonalność jest zarówno bezpieczna, jak i całkowicie opcjonalna, ale eksperci ds. Bezpieczeństwa i posiadacze kryptograficznych są już odległości od firmy.

Kontrowersyjna usługa odzyskiwania z Ledger

Obawy zaczęły trwać późny poniedziałek po użytkowniku Reddit Joe_smith _reddit opublikowanym Post Proszę o oficjalne „tak lub nie”, czy LEDGER ma drzwi do dostępu do prywatny Keys. Kluczem prywatnym jest tajny ciąg alfanumeryczny, który umożliwia użytkownikom dostęp do ich krypto w blockchain.

Pytanie Smiths odniesione do nowej Ledger „Ledger Recovery” Service-A abo Service przywracanie frazy jest jednym z prywatnych użytkowników kluczowych, wyrażonych w formie mnemonic.

Według Ledger, usługa aktywacji w aktualizacji oprogramowania układowego 2.2.1 polegająca na wydaniu wyrażenia przywracania urządzenia na urządzeniu, szyfrując kopię, fragmentację w trzech częściach i zabezpieczenie za pomocą Ledger, CO-Cover i trzeciego niepodejmowania usługodawcy. Aby móc uzyskać dostęp do usługi, użytkownicy muszą zweryfikować swoją tożsamość w oparciu o dokument identyfikacyjny i nagranie selfie.

Kolejne Twittera Ledger wyjaśnił, że usługa jest całkowicie „opcjonalna” i nie jest automatycznie aktywowana przez aktualizację oprogramowania. Nie mamy do tego dostępu ” - dodała firma.

Czy Ledger może „tworzyć” prywatne klucze użytkowników?

Pomimo zapewnień księgowych społeczność nadal rosła obaw o kluczowy pomysł: aktualizacja wykazała, że ​​w przeciwieństwie do twierdzeń producenta, urządzenia Ledger nie chronią prywatnych kluczy użytkowników przed dostępem zewnętrznym.

„Zaufanie, że zastrzeżony bezpieczny element wkłada swój wkład, było jedynym wątkiem związanym z tą firmą, a teraz został odcięty”, napisał we wtorek użytkownik Reddit w odpowiedzi na Ledger. „Nie mogę już polecać Ledger, dla którego jego cyfrowa suwerenność jest ważna”.

Popularny programista kryptograficzny, autor i egzaminator „foobar” na Twitterze powtórzył tę reakcję i poprosił swoich obserwujących o odejście od portfeli księgi.

przestań za pomocą portfeli sprzętowych Ledger. Odejdź od nich natychmiast. Nie pokazali nic oprócz rażącej niekompetencji i całkowitego nieporozumienia własnych intencji. A teraz publicznie przyznałeś, że celowo dostarczyłeś własnego zastrzeżonego sprzętu z tylnymi drzwiami. Przestań używać Ledger pic.twitter.com/llffusow4y

-foobar (@0xfoobar) 16.

„Rażący problem z tą aktualizacją polega na tym, że klucz prywatny może zostać uszkodzony w dowolnym momencie przez złośliwą lub przypadkową aktualizację oprogramowania układowego”, powiedział Dodano .

inni użytkownicy To klasa mistrzowska, która może zniszczyć Twój podstawowy biznes z próbą „innowacyjnego”.

Poleciłem ci, nawet po tym, jak wysadziłem Twoich klientów, ale to ostatni kropla, która powoduje przepełnienie lufy.

✌️

-Chris Dunn (@chrisdunntv) 16.

Wielu w społeczności zaleca Ledger do wprowadzenia oddzielnego portfela, który oferuje usługi odzyskiwania nasion zamiast zapewniać ją jako aktualizację oprogramowania układowego dla istniejących klientów, którzy oczekują maksymalnego bezpieczeństwa z ich urządzeń.

Ledger ma narażone na szwank w przeszłości przez fakt, że w lipcu 2020 r. Dane osobiste zostały przypadkowo wydane z kampanii e-mail i e-maili SMS-Phishing. Ten wyciek nie miał wpływu na bezpieczeństwo prywatnego klucza użytkowników.

sprzedaż księgi style =" Font-Weight: 400 "> po upadku FTX w listopadzie, zwłaszcza jako inwestor, próbował bezpiecznie chronić własną kryptowalutę bez zaufania scentralizowanych pośredników.

.

Kommentare (0)