08/03/2021 | הודעות בלוגים
המאמר הבא מסכם את הבלוג הטכני שפורסם לאחרונה על ידי ה ספר חשבונות דוניון קְבוּצָה. אתה יכול ללחוץ כאן לקרוא זה.
תוכנות שנועדו לפרוץ למכשירים האישיים שלנו הולכות ומשתכללות. ה שערוריית תוכנות ריגול של פגסוס מדגיש את האיום שהתוכנה הזו מציבה על הטכנולוגיה והמידע שלנו.
תוכנות ריגול זכו גם לתשומת הלב של תעשיית הקריפטו, מכיוון שמספר הולך וגדל של משתמשים ומשקיעים מסתמכים על ארנקי תוכנה הפועלים על מחשבים וסמארטפונים לא בטוחים. Web3 אין לאחסן נכסים דיגיטליים, כגון ביטקוין או Ethereum במכשירי Web2 (מחשבים ניידים וסמארטפונים). מאמר זה מסביר מדוע.
תוכנות ריגול "אפס ימים" ו-"אפס קליקים" מתרבות
בשנת 2020, כתבים חוקרים חשפו כי עשרות אלפי אזרחים, פעילים ומנהיגים פוליטיים היו ממוקדים על ידי לקוחות של יצרנית תוכנות הריגול, NSO Group. לאחרונה, תוכנת הריגול הפכה לשערורייה דיפלומטית אמיתית עם הגילוי ש-14 ראשי מדינות וממשלות היו מטרות לשעבר, כולל נשיא צרפת מקרון והמלך מוחמד החמישי ממרוקו. תוכנת הריגול סיפקה גישה מלאה לסמארטפונים שלהם.
איך תוכנת הריגול הזו הפכה לכלי מעקב ערמומי שכזה? פשוט בגלל של שילוב של תכונות "יום אפס" ו"אפס קליק". אבל מה זה אומר, בדיוק?
התקפת "יום אפס" מתרחשת כאשר האקרים מנצלים פגיעות באפליקציה או מכשיר שאינם ידועים לספק תוכנת היעד. במקרה של תוכנת הריגול של פגסוס, נקודות הכניסה הן אפליקציות העברת הודעות (iMessage, WhatsApp, SMS...).
מצד שני, התקפת "אפס קליק" מנצלת פגיעויות מבלי לדרוש מטרה ללחוץ בכל מקום. נקודות תורפה אלו העניקו לתוקף גישה כמעט מלאה למכשירים ממוקדים ולנתונים שלהם: מצלמה, מיקרופון, מיקום גיאוגרפי, תמונות, שיחות וכו'.
"התקפת אפס קליקים ביום אפס" היא שילוב של השניים לעיל. מודאג, עדיין?
התקפות אלו פוגעות גם בנכסים הדיגיטליים שלך
לצערי, "אפס-יום"וגם"לחיצה אפסיתהתקפות אינן מוגבלות לתוכנות ריגול של פגסוס. אם חשבתם שארנקי התוכנה שלכם מאובטחים מטבעם, חשבו שוב. הסרטונים הבאים מראים באיזו קלות צוות Ledger Donjon שלנו הצליח לפרוץ לסמארטפונים ולגשת לביטויי המקור של MetaMask, Coinbase, ו Blockchain.com ארנק תוכנה.
הסרטון הבא מדמה תוכנה זדונית שגונבת את סיסמת המשתמש שהוזנה על ידי הקורבן. לאחר מכן הוא משמש לפענוח נתוני ארנק Electrum ולהצגת ה-Seed.
הסרטון הבא מדגיש תוכנות זדוניות המחופשות לווידג'ט מזויף של ביטקוין. תוכנה זדונית מנצלת פגיעות של מכשיר כדי לסנן את ה-Seed המוצפן לשרת מרוחק. לאחר מכן השרת מכריח את הסיסמה כדי לפענח את הזרע:
הסרטון הבא מציג תהליך שווה ערך עם ארנק Coinbase:
הסרטון האחרון הזה מדגים תוכנות ריגול המכוונות לארנק Blockchain.com. לאחר אימות המשתמש באמצעות טביעת האצבע של הקורבן, מפתח ההצפנה יבוטל ונתוני הארנק מפוענחים:
בסך הכל, התהליך הוא למעשה די פשוט. ההאקר שולח לך הודעה מבלי לקבל הודעה. ההודעה מנצלת פגיעות המאפשרת לתוקפים לרגל אחרי האפליקציה שלך ולחלץ את ביטוי המקור שלך דרך האינטרנט. לאחר מכן, ההאקר שולח את הזרע בחזרה למחשב שלו. אין צורך בלחיצה וזה ניצול זדוני, בלשון המעטה.
לגבי הקריפטו שלך? נעלם.
הלקח ברור: אל תשים את הנכסים הדיגיטליים של Web3 במכשירי Web2 כמו מחשבים ניידים וסמארטפונים! הם לא מאובטחים בתכנון, כלומר הם פועלים על תוכנות (iOS או אנדרואיד) שלא מאפשרות לך להשאיר את החפצים שלך במובלעת בטוחה.
מדוע בטיחות בקריפטו צריכה להיות מבוססת חומרה?
יקום הקריפטו מלא באוצר, אבל ההרפתקה של האדם צריכה תמיד להיות בטוחה. הנה הסיבה שארנקי החומרה שלנו, Ledger Nano S ו-Nano X, הם פתרונות האחסון המאובטחים ביותר עבור הנכסים הדיגיטליים שלך:
- ראשית, הם מגנים עליך מפני תוכנות זדוניות, בתכנון. ארנקי החומרה שלנו הם מכשירים עצמאיים החותמים עסקאות בעצמם. חומרי ההצפנה של מפתחות פרטיים תמיד נשארים בתוך המכשיר. הם לעולם לא נשלחים לאפליקציה איתה הם מתקשרים. לפיכך, המפתחות שלך נשמרים במצב לא מקוון במקום שבו תוכנות זדוניות לא יכולות לגשת אליהם.
- שנית, המכשירים שלנו מטמיעים מסך המאפשר לך לאמת את הפעולות שלך בעת אינטראקציה עם המפתחות הסודיים שלך. כאשר אתה מבצע עסקאות בטלפון נייד או במחשב שולחני, תוכנות זדוניות יכולות לגשת למידע שלך או אפילו להחליף/לשנות את הכתובות שלך. האימות שלנו במכשיר הם אמצעי נגד יעילים מאוד.
מפתחות לא מקוונים ואימות במכשיר הם כלים קריטיים לאבטחה מלאה של נכסים דיגיטליים במכשירי חומרה.
סיכום:
ככל שמטבעות קריפטוגרפיים יהפכו נפוצים יותר, התקפות נגד ארנקים יהפכו, למרבה הצער, יותר ויותר מתוחכמות. ב- Ledger, אנו שואפים להביא לך את החוויה המאובטחת ביותר בעת ניהול הנכסים הדיגיטליים שלך.
מקור: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- גישה
- הַרפַּתקָה
- מאפשר
- דְמוּי אָדָם
- האפליקציה
- בקשה
- אפליקציות
- מאמר
- נכסים
- המתקפות
- ביטקוין
- blockchain
- בלוג
- בלוג הודעות
- לקוחות
- coinbase
- Common
- מחשבים
- תוכן
- שיחות
- קריפטו
- תעשיית הקריפטו
- -
- נתונים
- פענוח
- עיצוב
- התקנים
- DID
- דיגיטלי
- נכסים דיגיטליים
- אלקטרום
- הצף
- וכו '
- ethereum
- ניסיון
- לנצל
- מְזוּיָף
- תכונות
- צרפת
- מלא
- ממשלות
- קְבוּצָה
- לפרוץ
- האקר
- האקרים
- חומרה
- ארנקים חומרה
- איך
- HTTPS
- כולל
- תעשייה
- מידע
- אינטרנט
- משקיעים
- iOS
- IT
- מפתח
- מפתחות
- המלך
- מחשבים ניידים
- פנקס
- מוגבל
- יצרן
- תוכנות זדוניות
- חומרים
- הודעות
- אפליקציות העברת הודעות
- סלולרי
- טלפון סלולרי
- מרוקו
- ננו
- קבוצת NSO
- נפתח
- אחר
- סיסמה
- ביטויים
- שחקן
- הודעות
- נשיא
- פְּרָטִי
- מפתחות פרטיים
- תוכניות
- להגן
- הפעלה
- ריצה
- בטוח
- בְּטִיחוּת
- מסך
- זרע
- פָּשׁוּט
- טלפונים חכמים
- תוכנה
- פתרונות
- הברית
- להשאר
- אחסון
- מעקב
- יעד
- טכני
- טכנולוגיה
- עסקות
- משתמשים
- וִידֵאוֹ
- וידאו
- פגיעויות
- פגיעות
- ארנק
- ארנקים
- Web3
- וואטסאפ
- X
- YouTube
