Un programador de 15 años llamado Saleem Rashid descubrió una falla en la popular billetera de hardware Ledger que permitía a los piratas informáticos obtener PIN secretos antes o después de que se enviara el dispositivo. Los agujeros, que Rashid describió en su blog, permitió tanto un “ataque a la cadena de suministro”, es decir, un pirateo que podría comprometer el dispositivo antes de que se enviara al cliente, y otro ataque que podría permitir a un pirata informático robar claves privadas después de que se inicializara el dispositivo.
Rashid no está afiliado directamente con ningún competidor de Ledger, aunque se sugirió que hizo algunos trabajos en Trezor y otras carteras de hardware de la competencia. Su respuesta:
El equipo de Ledger describió las vulnerabilidades peligrosas pero evitables. Para el “ataque a la cadena de suministro”, escribieron: “al tener acceso físico al dispositivo antes de la generación de la semilla, un atacante podría engañar al dispositivo inyectando su semilla en lugar de generar una nueva. El escenario más probable sería una operación fraudulenta de un revendedor sospechoso “.
“Si compró su dispositivo en un canal diferente, si se trata de un dispositivo de segunda mano o si no está seguro, podría ser víctima de una estafa elaborada. Sin embargo, como no se ha mostrado ninguna demostración del ataque en lo real, es muy poco probable. En ambos casos, una actualización de firmware exitosa es la prueba de que su dispositivo nunca ha sido comprometido ”, escribió el equipo.
Además, el truco posterior a la compra “solo se puede lograr teniendo acceso físico al dispositivo, conociendo su código PIN e instalando una aplicación maliciosa sin firmar. Esta aplicación maliciosa podría romper el aislamiento entre aplicaciones y acceder a datos confidenciales administrados por aplicaciones específicas como GPG, U2F o Neo ”.
El director ejecutivo de Ledger, Eric Larchevêque, afirmó que no hubo informes de que la vulnerabilidad afectara a ningún dispositivo activo.
“Nadie estaba comprometido que sepamos”, dijo. “No tenemos conocimiento de que algún dispositivo se haya visto afectado”.
Rashid, por su parte, estaba decepcionado con la rapidez con la que Ledger respondió a sus afirmaciones. Escribió en Twitter:
El equipo de Ledger no está de acuerdo.
“Estuvimos en contacto con Saleem durante los últimos cuatro meses”, dijo Larchevêque. “Es incorrecto afirmar que no le respondimos ni hicimos nada. Hubo otras vulnerabilidades que aparecieron al mismo tiempo y era una vulnerabilidad compleja que estaba profundamente en la arquitectura de nuestro sistema “.
“Todos los sistemas tienen vulnerabilidades”, dijo Larchevêque. “Eso es parte de la vida de cualquier sistema de seguridad. Es un juego del gato y el ratón “.
Fabricante de carteras Trezor también ha anunciado una actualización de su hardware para verificar la integridad de sus dispositivos.
En última instancia, esta brecha nos muestra que las carteras de hardware son una buena solución, pero aún no infalibles. Las actualizaciones periódicas y la gestión cuidadosa de las claves siguen siendo de vital importancia.