Ledger: Las vulnerabilidades de la billetera recientemente descubiertas no son críticas

Ledger afirmó que las vulnerabilidades recientemente descubiertas en sus billeteras de hardware no son críticas en una entrada oficial del blog de Medium el 28 de diciembre.

Ayer en la conferencia Refreshing Memories 35C3 en Berlín, los investigadores afirmaron que fueron capaces de hackear las billeteras de criptomonedas Trezor One, Ledger Nano S y Ledger Blue.

En el post, la empresa explica que parecía haber "tres vías de ataque que podían dar la impresión de que se habían descubierto vulnerabilidades críticas", pero según ellos "este no es el caso".

La razón por la que Ledger dice que la vulnerabilidad no es crítica es que "no lograron extraer ninguna semilla ni PIN en un dispositivo robado" y "los activos sensibles almacenados en el elemento seguro siguen siendo seguros".

Según la empresa, la vulnerabilidad del Ledger Nano S "demostró que modificar físicamente el Ledger Nano S e instalar malware en el PC de la víctima podía permitir a un atacante cercano firmar una transacción después de introducir el PIN y lanzar la aplicación Bitcoin (BTC)".

Esto, afirma Ledger, es "bastante poco práctico, y un hacker motivado definitivamente usaría trucos más eficientes". Mientras que los investigadores afirmaban que la vulnerabilidad les permitía "enviar transacciones maliciosas al ST31[el chip seguro] e incluso confirmarlo nosotros mismos", Ledger lo niega, afirmando:

"Su firmware corre por la MCU en modo Bootloader. Esto significa que tienes que pulsar el botón izquierdo en el arranque y el elemento seguro ni siquiera arranca".

Ledger también afirma que la demostración del ataque de Ledger Blue es "un poco irrealista y no práctica", afirmando que "la posición del receptor y del dispositivo atacado debe ser exactamente la misma, la posición del cable USB también es primordial (ya que actúa como una antena)".

El post decía que "si las condiciones no son exactamente las mismas, el clasificador de aprendizaje de la máquina no funcionará correctamente". Por esta razón, concluyó Ledger:

"Este ataque es definitivamente interesante, pero no permite adivinar el PIN de alguien en condiciones reales (requiere que nunca muevas tu dispositivo).

Además, debido a esta vulnerabilidad, Ledger afirmó que la próxima actualización del firmware de Ledger Blue incluirá un teclado aleatorio para el pin.

La compañía también declaró que "lamentan que los investigadores no siguieran los principios de seguridad estándar descritos en el programa de recompensas de Ledger". Según Ledger "en el mundo de la seguridad, la forma habitual de proceder es la divulgación responsable. Este es el modelo en el que una vulnerabilidad se revela sólo después de un período razonable de tiempo que permite que la vulnerabilidad sea parcheada, así como para mitigar los riesgos para los usuarios".

En noviembre, Ledger anunció su expansión a Nueva York para desarrollar su custodia institucional ofreciendo Ledger Vault. Además, la empresa también firmó recientemente un acuerdo con Crypto.com para que los usuarios puedan pagar sus productos con criptomonedas.