08/03/2021 | Blogindlæg
Den følgende artikel opsummerer den tekniske blog for nylig udgivet af Ledger Donjon hold. Du kan klikke link. at læse den.
Softwareprogrammer designet til at hacke vores personlige enheder bliver mere og mere sofistikerede. Det Pegasus spyware-skandale fremhæver den trussel, denne software udgør for vores teknologi og information.
Spyware har også fået opmærksomhed fra kryptoindustrien, da et stigende antal brugere og investorer er afhængige af software-punge, der kører på usikre computere og smartphones. Web3 digitale aktiver, såsom Bitcoin eller Ethereum, bør ikke opbevares på Web2-enheder (bærbare computere og smartphones). Denne artikel forklarer hvorfor.
"Zero-days" & "zero-clicks" spyware spreder sig
I 2020 afslørede undersøgende journalister, at titusindvis af borgere, aktivister og politiske ledere var målrettet af klienter fra spyware-producenten, NSO Group. For nylig blev spywaren en sand diplomatisk skandale med afsløringen af, at 14 stats- og regeringschefer var tidligere mål, herunder Frankrigs præsident Macron og kong Mohammed V af Marokko. Spywaren gav fuld adgang til deres smartphones.
Hvordan blev denne spyware sådan et snigende overvågningsværktøj? Simpelthen fordi af en blanding af "nul-dag" og "nul-klik" funktioner. Men hvad betyder det helt præcist?
Et "zero-day"-angreb opstår, når hackere udnytter en sårbarhed i en app eller enhed, der er ukendt for leverandøren af målsoftwaren. I Pegasus spyware-sagen er adgangspunkter beskedapps (iMessage, WhatsApp, SMS...).
På den anden side udnytter et "nul-klik"-angreb sårbarheder uden at kræve, at et mål klikker hvor som helst. Disse sårbarheder gav angriberen næsten fuldstændig adgang til målrettede enheder og deres data: kamera, mikrofon, geolocation, billeder, samtaler osv.
Et "zero-day zero-click angreb" er en kombination af de to ovenstående. Bekymret, endnu?
Disse angreb skader også dine digitale aktiver
Desværre, "zero-day"Og"nul-klik” angreb er ikke begrænset til Pegasus spyware. Hvis du troede, at dine softwarepunge var i sagens natur sikre, så tro om igen. De følgende videoer viser, hvor nemt vores Ledger Donjon-team var i stand til at hacke smartphones og få adgang til frøsætningerne af MetaMask, Coinbaseog Blockchain.com softwaretegnebøger.
Den næste video simulerer en malware, der stjæler brugeradgangskoden, som offeret har indtastet. Det bruges derefter til at dekryptere Electrum wallet-dataene og til at vise frøet.
Den følgende video fremhæver malware forklædt som en falsk Bitcoin ticker-widget. Malware udnytter en enhedssårbarhed til at eksfiltrere det krypterede frø til en ekstern server. Serveren tvinger derefter adgangskoden til at dekryptere frøet:
Den næste video viser en tilsvarende proces med en Coinbase Wallet:
Denne sidste video demonstrerer spyware rettet mod en Blockchain.com tegnebog. Når brugeren har autentificeret ved hjælp af offerets fingeraftryk, låses krypteringsnøglen op, og pungdata dekrypteres:
Overordnet set er processen faktisk ret simpel. Hackeren sender dig en besked, uden at du får besked. Meddelelsen udnytter en sårbarhed, der gør det muligt for angriberne at spionere på din app og eksfiltrere din frøfrase gennem internettet. Hackeren sender derefter frøet tilbage til deres egen computer. Intet klik er nødvendigt, og det er mildest talt en ondsindet udnyttelse.
Hvad angår din krypto? Væk.
Læren er klar: læg ikke dine Web3 digitale aktiver på Web2-enheder som bærbare computere og smartphones! De er ikke sikre ved design, hvilket betyder, at de kører på softwareprogrammer (iOS eller Android), der ikke tillader dig at efterlade dine ejendele i en sikker enklave.
Hvorfor skal sikkerhed i krypto være hardwarebaseret?
Krypto-universet er fyldt med skatte, men ens eventyr skal ALTID være sikkert. Her er grunden til, at vores hardware-punge, Ledger Nano S og Nano X, er de mest sikre opbevaringsløsninger til dine digitale aktiver:
- For det første beskytter de dig mod malware, ved design. Vores hardware wallets er uafhængige enheder, der underskriver transaktioner på egen hånd. Private nøglers kryptografiske materialer forbliver altid inde i enheden. De bliver aldrig sendt til den applikation, de kommunikerer med. Derfor holdes dine nøgler offline, hvor malware ikke kan få adgang til dem.
- For det andet indlejrer vores enheder en skærm, der giver dig mulighed for at bekræfte dine handlinger, når du interagerer med dine hemmelige nøgler. Når du foretager transaktioner på en mobiltelefon eller stationær computer, kan malware få adgang til dine oplysninger eller endda bytte/ændre dine adresser. Vores on-device-godkendelser er meget effektive modforanstaltninger.
Offlinenøgler og godkendelser på enheden er vigtige værktøjer til fuldt ud at sikre digitale aktiver på hardwareenheder.
konklusion:
Efterhånden som kryptovalutaer bliver mere almindelige, vil angreb mod tegnebøger desværre blive mere og mere sofistikerede. Hos Ledger sigter vi efter at give dig den mest sikre oplevelse, når du administrerer dine digitale aktiver.
Kilde: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- adgang
- Eventyr
- tillade
- android
- app
- Anvendelse
- apps
- artikel
- Aktiver
- Angreb
- Bitcoin
- blockchain
- Blog
- Blogindlæg
- kunder
- coinbase
- Fælles
- computere
- indhold
- samtaler
- krypto
- Kryptoindustri
- cryptocurrencies
- data
- Dekryptér
- Design
- Enheder
- DID
- digital
- Digitale aktiver
- Electrum
- kryptering
- etc.
- ethereum
- erfaring
- Exploit
- falsk
- Funktionalitet
- Fransk vin
- fuld
- regeringer
- gruppe
- hack
- hacker
- hackere
- Hardware
- Hardware lommebøger
- Hvordan
- HTTPS
- Herunder
- industrien
- oplysninger
- Internet
- Investorer
- iOS
- IT
- Nøgle
- nøgler
- King (Konge)
- laptops
- Ledger
- Limited
- maker
- malware
- materialer
- messaging
- messaging-apps
- Mobil
- mobiltelefon
- marokko
- nano
- NSO Group
- åbner
- Andet
- Adgangskode
- sætninger
- spiller
- Indlæg
- præsident
- private
- Private nøgler
- Programmer
- beskytte
- Kør
- kører
- sikker
- Sikkerhed
- Skærm
- frø
- Simpelt
- smartphones
- Software
- Løsninger
- Stater
- forblive
- opbevaring
- overvågning
- mål
- Teknisk
- Teknologier
- Transaktioner
- brugere
- video
- Videoer
- Sårbarheder
- sårbarhed
- tegnebog
- Punge
- Web3
- X
- youtube
