2018/02/13

Carteiras Ledger de criptomoedas vulneráveis a ataques via Javascript


Quem levar a segurança das suas criptmoedas mais a sério poderá já se ter sentido tentado a utilizar uma carteira em hardwre como as Ledger, mas infelizmente nem isso é garantia de que o seu dinheiro digital esteja a salvo.

Já por cá falamos de casos insólitos de utilizadores que desesperadamente tentaram crackar a sua carteira em hardware para recuperar uns largos milhares de dólares que lá mantinham, depois de terem perdido as passwords de acesso. Mas desta vez o caso é bem mais simples... mas não
ao menos preocupante.

Desta vez a vulnerabilidade não consiste exactamente numa falha nas carteiras Ledger, mas sim na possibilidade de um malware que tenha infectado o computador onde a usarmos poder apresentar um endereço de uma carteira de destino que não corresponde à realidade. Ou seja, é possível que o browser apresente a carteira de destino para a qual pretendemos transferir criptomoedas, mas na realidade a carteira transferir esse valor para uma conta pertencente a um atacante.

Os responsáveis pela Ledger já vieram dizer que este tipo de problema afectará todas as carteiras de hardware e que isso poderá ser evitado comprovado o endereço de destino efectivo lendo-o directamente no ecrã da própria wallet física. Só assim o utilizador poderá ter a certeza absoluta da carteira para onde estará a transferir o valor, mesmo que o monitor do seu computador apresente qualquer outra coisa.

... Mais um aspecto a ter em conta por quem usar carteiras de criptomoedas por hardware.

2 comentários:

  1. Um enorme revés para a reputação das criptomoedas em geral...

    Simplicidade (sem abdicar da segurança) procura-se.

    ResponderEliminar
  2. Vulnerabilidade na carteira "Ledger Wallet" seria se os atacantes conseguissem exibir um endereço no ecrã do aparelho mas depois enviasse para outro endereço pensando a pessoa que enviou para aquele que lhe foi exibido no ecrã. Não é isso que aconteceu!

    Como o responsável disse, e bem, tal não é um problema da Ledger Wallet, nem dos outros aparelhos similares que exibem o endereço, mas sim do computador/ dispositivo que estando infectado com algum código maligno exibe um endereço diferente do que o correcto.

    Cabe à pessoa confirmar no ecrã do aparelho Ledger Wallet ou similar que o endereço é o correcto para onde pretende fazer a transferência... e que o que está a obter no ecrã do seu computador/ dispositivo é o correcto... mas isso está para além da capacidade do aparelho "Ledger Wallet"! Neste caso a pessoa deve tentar obter o endereço através de dispositivos diferentes se tal for possível para comparar se aquilo que lhe é exibido é sempre o mesmo ou muda conforme o dispositivo podendo indicar uma infecção de um (ou de vários) dispositivo.

    Em pelo menos um caso recente um vírus qualquer que pedia um resgate acho que mandava as pessoas para um endereço na rede Onion mas depois as pessoas ou estavam a seguir o link acessível pelos browsers normais ou estavam a tentar aceder ao endereço pelos browsers normais e então estavam a ir parar a um servidor que lhes mostrava um endereço para onde deveriam enviar o dinheiro virtual... mas que não era o dos supostos autores do vírus, mas sim de outros que se aproveitaram do facto de irem por ali em vez de utilizarem por exemplo o Tor Browser para acederem ao web site verdadeiro na rede onion.

    ResponderEliminar