Los entusiastas de las criptomonedas que confían en las billeteras de hardware de Ledger para mantener sus monedas seguras deben tener extrema precaución al enviar fondos: es posible que los hackers de dedos persistentes quiten su cheddar digital de su destinatario original y directamente a sus propias billeteras.
La compañía ha llevado a Twitter para recordarles a los usuarios que «siempre verifiquen [su] dirección de recepción» en la pantalla de sus dispositivos manualmente utilizando el botón «pantalla del monitor» en la parte inferior de cada formulario de solicitud de transacción.
En referencia a un reciente informe de vulnerabilidad de DocDroid, Ledger reconoció que sus billeteras de hardware sufren un defecto que hace posible que los atacantes lo infecten con malware, diseñado para engañarlo y enviarle sus criptomonedas a los hackers.
Para mitigar el hombre en el vector de ataque medio reportado aquí https://t.co/GFFVUOmlkk (que afecta a todos los vendedores de monedero de hardware), siempre verifique su dirección de recepción en la pantalla del dispositivo haciendo clic en el «botón del monitor» pic.twitter.com / EMjZJu2NDh
– Libro mayor (@LedgerHQ) 3 de febrero de 2018
«Las billeteras de libro mayor generan la dirección de recepción mostrada utilizando el código JavaScript que se ejecuta en la máquina host», dice el informe. «Esto significa que un malware puede simplemente reemplazar el código responsable de generar la dirección de recepción con su propia dirección, lo que hace que todos los depósitos futuros sean enviados al atacante».
Lo que es aún peor es que, debido al diseño de Ledger que requiere que se generen nuevas direcciones constantemente, los usuarios no tienen opciones viables para «verificar la integridad de la dirección de recepción». Esto podría engañar a los usuarios haciéndoles creer que la dirección de recepción mostrada es auténtica, mientras esto podría no ser el caso en absoluto.
El informe de DocDroid indica además que todo el software Ledger podría ser explotado y modificado incluso por malware sin privilegios, lo que significa que los atacantes podrían abusar de su sistema sin necesidad de obtener derechos administrativos.
Las carteras tampoco tienen implementaciones para verificar la integridad y garantizar la protección contra manipulaciones. De hecho, el informe afirma que las billeteras Ledger están tan mal diseñadas que los dispositivos pre-infectados podrían explotar la primera transacción de los usuarios para conectar su criptografía.
DocDroid reveló la vulnerabilidad al Libro mayor hace un mes, pero su equipo prefirió corregir el error al crear conciencia sobre él, en lugar de hacer cambios en su código e interfaz.
Respondiendo a los clientes molestos en Twitter, Ledger dijo que el problema » no se puede resolver en absoluto».
» Un malware siempre puede cambiar lo que ves en la pantalla de tu computadora», escribió la compañía. «La única solución es la prevención y la construcción de un UX para que el usuario verifique su dispositivo. La función de verificación del dispositivo ya se agregó hace [seis] meses. «
Así que la próxima vez que realice una transacción con su billetera Ledger, mejor tómese su tiempo para asegurarse de que todo esté bajo control: podría estar arriesgándose a que todas sus monedas sean cargadas.
Actualización: Ledger ha detallado detalladamente la vulnerabilidad en su blog oficial .
Lea a continuación: Cómo Tappx ayudó a convertir ‘Cut the Rope’ en una verdadera mina de oro