08/03/2021 | Blog post
Il seguente articolo riassume il blog tecnico recentemente pubblicato dal Mastro mastio squadra. Puoi cliccare qui leggere esso.
I programmi software progettati per hackerare i nostri dispositivi personali stanno diventando sempre più sofisticati. Il Scandalo spyware Pegasus mette in evidenza la minaccia che questo software rappresenta per la nostra tecnologia e le nostre informazioni.
Anche lo spyware ha attirato l'attenzione dell'industria delle criptovalute, poiché un numero crescente di utenti e investitori si affida a portafogli software in esecuzione su computer e smartphone non sicuri. Web3 le risorse digitali, come Bitcoin o Ethereum, non devono essere archiviate su dispositivi Web2 (laptop e smartphone). Questo articolo spiega perché.
Lo spyware "zero giorni" e "zero clic" prolifera
Nel 2020, i giornalisti investigativi hanno rivelato che decine di migliaia di cittadini, attivisti e leader politici sono stati presi di mira dai clienti del produttore di spyware, NSO Group. Di recente, lo spyware è diventato un vero scandalo diplomatico con la rivelazione che 14 capi di Stato e di governo erano ex obiettivi, tra cui il presidente Macron di Francia e il re Mohammed V del Marocco. Lo spyware ha fornito l'accesso completo ai loro smartphone.
In che modo questo spyware è diventato uno strumento di sorveglianza così insidioso? Semplicemente perchè di un mix di funzionalità "zero-day" e "zero-click". Ma cosa significa esattamente?
Un attacco "zero-day" si verifica quando gli hacker sfruttano una vulnerabilità in un'app o in un dispositivo sconosciuto al fornitore del software di destinazione. Nel caso dello spyware Pegasus, i punti di ingresso sono app di messaggistica (iMessage, WhatsApp, SMS...).
D'altra parte, un attacco "zero-click" sfrutta le vulnerabilità senza richiedere a un bersaglio di fare clic ovunque. Queste vulnerabilità hanno fornito all'attaccante l'accesso quasi completo ai dispositivi mirati e ai loro dati: fotocamera, microfono, geolocalizzazione, immagini, conversazioni, ecc.
Un "attacco zero-day zero-click" è una combinazione dei due precedenti. Preoccupato, ancora?
Questi attacchi danneggiano anche le tue risorse digitali
Purtroppo, "zero-day" e "zero clic"Gli attacchi non sono limitati allo spyware Pegasus. Se pensavi che i tuoi portafogli software fossero intrinsecamente sicuri, ripensaci. I seguenti video mostrano con quanta facilità il nostro Ledger Donjon Team è stato in grado di hackerare gli smartphone e accedere alle frasi seme di MetaMaschera, Coinbasee Blockchain.com portafogli software.
Il video successivo simula un malware che ruba la password dell'utente inserita dalla vittima. Viene quindi utilizzato per decifrare i dati del portafoglio Electrum e per visualizzare il seme.
Il seguente video mette in evidenza il malware travestito da un falso widget ticker Bitcoin. Il malware sfrutta una vulnerabilità del dispositivo per esfiltrare il seme crittografato su un server remoto. Il server quindi forza brute la password per decrittografare il seme:
Il prossimo video mostra un processo equivalente con un portafoglio Coinbase:
Quest'ultimo video mostra lo spyware che prende di mira un portafoglio Blockchain.com. Una volta che l'utente si è autenticato utilizzando l'impronta digitale della vittima, la chiave di crittografia viene sbloccata e i dati del portafoglio vengono decrittografati:
Nel complesso, il processo è in realtà abbastanza semplice. L'hacker ti invia un messaggio senza che tu venga avvisato. Il messaggio sfrutta una vulnerabilità che consente agli aggressori di spiare la tua app ed esfiltrare la tua frase seme attraverso Internet. L'hacker invia quindi il seme al proprio computer. Non è necessario alcun clic ed è un exploit dannoso, per non dire altro.
Per quanto riguarda le tue criptovalute? Andato.
La lezione è chiara: non mettere le tue risorse digitali Web3 su dispositivi Web2 come laptop e smartphone! Non sono sicuri per progettazione, nel senso che funzionano su programmi software (iOS o Android) che non ti consentono di lasciare i tuoi effetti personali in un'enclave sicura.
Perché la sicurezza nelle criptovalute deve essere basata sull'hardware?
L'universo delle criptovalute è pieno di tesori, ma la propria avventura dovrebbe SEMPRE essere al sicuro. Ecco perché i nostri portafogli hardware, Ledger Nano S e Nano X, sono le soluzioni di archiviazione più sicure per le tue risorse digitali:
- Innanzitutto, ti proteggono dal malware, in base alla progettazione. I nostri portafogli hardware sono dispositivi indipendenti che firmano le transazioni da soli. I materiali crittografici delle chiavi private rimangono sempre all'interno del dispositivo. Non vengono mai inviati all'applicazione con cui comunicano. Pertanto, le tue chiavi vengono mantenute offline dove il malware non può accedervi.
- In secondo luogo, i nostri dispositivi incorporano uno schermo che ti consente di verificare le tue azioni quando interagisci con le tue chiavi segrete. Quando effettui transazioni su un telefono cellulare o un computer desktop, il malware può accedere alle tue informazioni o persino scambiare/modificare i tuoi indirizzi. Le nostre autenticazioni su dispositivo sono contromisure molto efficienti.
Le chiavi offline e le autenticazioni sul dispositivo sono strumenti fondamentali per proteggere completamente le risorse digitali sui dispositivi hardware.
Conclusione:
Man mano che le criptovalute diventano più comuni, gli attacchi contro i portafogli, purtroppo, diventeranno sempre più sofisticati. In Ledger, miriamo a offrirti l'esperienza più sicura durante la gestione delle tue risorse digitali.
Fonte: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- accesso
- Avventura
- Consentire
- androide
- App
- Applicazioni
- applicazioni
- articolo
- Attività
- attacchi
- Bitcoin
- blockchain
- Blog
- Post di Blog
- clienti
- coinbase
- Uncommon
- computer
- contenuto
- Conversazioni
- crypto
- Industria criptata
- cryptocurrencies
- dati
- decrypt
- Design
- dispositivi
- DID
- digitale
- Risorse digitali
- Electrum
- crittografia
- eccetera
- Ethereum
- esperienza
- Sfruttare
- falso
- Caratteristiche
- Francia
- pieno
- I governi
- Gruppo
- incidere
- degli hacker
- hacker
- Hardware
- hardware wallet
- Come
- HTTPS
- Compreso
- industria
- informazioni
- Internet
- Investitori
- iOS
- IT
- Le
- Tasti
- King
- computer portatili
- Ledger
- Limitato
- creatore
- il malware
- Materiale
- di messaggistica
- app di messaggistica
- Mobile
- cellulare
- Marocco
- nano
- Gruppo NSO
- apre
- Altro
- Password
- Frasi
- giocatore
- Post
- Presidente
- un bagno
- Chiavi private
- Programmi
- protegge
- Correre
- running
- sicura
- Sicurezza
- allo
- seme
- Un'espansione
- smartphone
- Software
- Soluzioni
- stati
- soggiorno
- conservazione
- sorveglianza
- Target
- Consulenza
- Tecnologia
- Le transazioni
- utenti
- Video
- Video
- vulnerabilità
- vulnerabilità
- Portafoglio
- Portafogli
- Web3
- X
- youtube
