Il teenager che ha compromesso il wallet hardware di Ledger sostiene che il dispositivo sia ancora vulnerabile, ma gli sviluppatori negano

Secondo quanto riportato il 21 marzo da Ars Technica, il famoso produttore di wallet hardware Ledger continua a negare le voci sulle vulnerabilità dei suoi dispositivi, che sarebbero stati compromessi da un teenager.

 

Dopo che a novembre il quindicenne britannico Saleem Rashid ha creato il codice per per violare i wallet di Ledger tramite un attacco "backdoor", la società ha pubblicato alcuni post che descrivevano gli eventi come "NON critici" e ha affermato che i possibili attacchi "non possono estrarre le private key o il seed".

 

Il 20 marzo, Rashid ha poi replicato a tali affermazioni sui social media e con un post sul suo blog personale intitolato "Breaking the Ledger Security Model", dove affermò di riuscire ad "estrarre autonomamente la root private key una volta che il dispositivo veniva sbloccato dall'utente" e di utilizzarla per manipolare gli indirizzi di destinazione delle transazioni.

La discussione mette sotto pressione sia Ledger che i suoi milioni di utenti, che fino ad ora avevano ampiamente accettato le rassicurazioni della società sulla sicurezza dei suoi wallet.

 

L'uso di wallet hardware è spesso raccomandato da i più importanti nomi dell'industria Bitcoin, tra cui l'educatore Andreas Antonopoulos, che come molti altri tenta di dissuadere gli investitori dal conservare le proprie criptovalute online.

Nell'ultimo mese, Ledger ha tentato di patchare un totale di tre vulnerabilità di sicurezza nel suo hardware, inclusa quella identificata da Rashid. In un post del 20 marzo che descrive i progressi degli aggiornamenti di sicurezza, la compagnia ha fatto sapere agli utenti che, dopo averli aggiornati, i loro wallet sarebbero stati completamente protetti.

"Il processo di aggiornamento verifica l'integrità del dispositivo e, se l'aggiornamento alla versione 1.4.1 avviene con successo, significa che il wallet non è mai stato compromesso sfruttando le vulnerabilità patchate. Non è necessario fare nient'altro, sia il seed che le private keys sono al sicuro. "