Garoto de 15 anos descobre falha em carteira física de criptomoedas

Por Wagner Wakka | 22 de Março de 2018 às 07h53
Reprodução

Um garoto de 15 anos conseguiu hackear um aparelho da Ledger, marca de carteiras físicas utilizadas sobretudo para guardar criptomoedas. O programador chamado Saleem Rashid descobriu uma falha que permite acessar o código de acesso antes e depois que o aparelho é enviado ao consumidor.

No post em seu blog, ele explica como funciona a falha. Basicamente, são feitas duas etapas. Ele primeiro invade o aparelho antes de ser enviado ao usuário. Isso permite que ele tenha acesso às senhas dos usuários.

Pelo Twitter, ele rebateu as críticas de que teria sido contratado por concorrentes da Ledger para mostrar as fraquezas do produto: “Para que fique claro: eu tenho um Trezor. Eu também tenho uma Digitalbitbox. Eu contribui para o firmware open source da Trezor no passado e tenho trabalhado como contratado da Nem para implementar o suporte $NEM para Trezor”. Por isso, afirma que a narrativa de que ele queria prejudicar a Ledger seria “ridícula”.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

A Ledger respondeu dizendo que a vulnerabilidade é perigosa, mas que é possível evitá-la. Segundo a empresa, como ao hackeamento é feito antes do envio do produto, esta pode ser uma falha do revendedor.

“Se você compra seu device de um canal diferente, se é um device já usado, se você não tem certeza, então você está sujeito a ser vítima de uma fraude elaborada. Contudo, nenhuma demonstração do ataque em um cenário verdadeiro foi realmente apresentada, portanto isso é bem improvável. Em ambos os casos, um update bem-sucedido de firmware é a prova de que seu device nunca foi comprometido”, rebateu o time em comunicado.

O hack feito depois que o usuário já recebeu o device só é feito caso se tenha o aparelho em mãos, sabendo o código de acesso e instalando um aplicativo intruso.

O hacker de 15 anos ainda afirmou que entrou em contato com a empresa há 4 meses para reportar o problema e recebeu “uma comunicação ruim”. A Ledger rebateu dizendo que estava em contato com Saleem nos últimos quatro meses. “É incorreto dizer que não o respondemos e não fizemos nada. Há outras vulnerabilidades que chegam ao mesmo tempo, esta era uma complexa e que estava nas profundidades da arquitetura de nosso sistema”, explica o time.

O CEO da Ledger, Eric Larchevêque, também rebateu as críticas: “Todos os sistemas têm vulnerabilidades. Isso é parte da vida de qualquer sistema de segurança. É um jogo de gato e rato”.  

Fonte: TechCrunch

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.