Ledger и Trezor успокоили пользователей – на презентации не было доказано, что можно извлечь код или seed-фразу, все атаки строились на завладении физическим устройством и социальном инжиниринге, когда жертва самостоятельно заражает устройство.
Помимо психологических приемов завладения информацией на видеозаписи выступления Wallet Fiat видно, как команда «ворует» персональные данные в ходе загрузки устройства, продемонстрирован взлом защиты и обход микропроцессора устройства, а также вызов специальных сбоев веб-интерфейса для перехвата управления кошельком.
Производители обращают внимание, что для атаки при загрузке флешки кошелька, потребуется дождаться момента первой транзакции, угадав время и место, но согласились с уязвимостью, пообещав устранить ее в следующей прошивке. Обход микропроцессора, показанный на шоу, возможен, но он переведет кошелек в режим отладки и не будет способствовать хищению криптовалюты или персональных данных.
Продемонстрированный Wallet Fiat способ извлечения PIN-кода из Ledger Blue – «старая уязвимость», которая уже устранена, команда просто вводит пользователей в заблуждение. Производители считают, что вся презентация построена для привлечения интереса к команде Wallet Fiat. По этическим стандартам раскрытия уязвимостей, до их публикации сначала ставят в известность компании, а любые публикации на эту тему проводят после устранения недостатков, не подвергая риску пользователей.
Согласен, если уж нашли уязвимость, то лучше сначала сообщить производителю, а уж когда ими не будут предприняты меры по устранению — обнародовать обнаружение уязвимости.