次の記事は、最近公開されたテクニカルブログをまとめたものです。 元帳ドンジョン チーム。 クリックできます こちら 読むには ボーマンは
私たちの個人的なデバイスをハッキングするように設計されたソフトウェアプログラムは、ますます洗練されてきています。 NS Pegasusスパイウェアスキャンダル このソフトウェアが当社のテクノロジーと情報にもたらす脅威を浮き彫りにします。
安全でないコンピューターやスマートフォンで実行されるソフトウェアウォレットに依存するユーザーや投資家が増えているため、スパイウェアも暗号業界の注目を集めています。 Web3 ビットコインやイーサリアムなどのデジタル資産は、Web2デバイス(ラップトップやスマートフォン)に保存しないでください。 この記事ではその理由を説明します。
「ゼロデイ」と「ゼロクリック」のスパイウェアが急増
2020年、調査報道記者は、数万人の市民、活動家、政治指導者がスパイウェアメーカーであるNSOGroupのクライアントの標的にされていることを明らかにしました。 最近、スパイウェアは、フランスのマクロン大統領やモロッコのモハメッド14世を含む、XNUMXの国家元首と政府が以前の標的であったことが明らかになり、真の外交スキャンダルになりました。 スパイウェアはスマートフォンへのフルアクセスを提供しました。
このスパイウェアはどのようにしてこのような陰湿な監視ツールになりましたか? 単純に〜だから 「ゼロデイ」機能と「ゼロクリック」機能を組み合わせたものです。 しかし、それは正確にはどういう意味ですか?
「ゼロデイ」攻撃は、ハッカーがターゲットソフトウェアのベンダーに知られていないアプリまたはデバイスの脆弱性を悪用した場合に発生します。 Pegasusスパイウェアの場合、エントリポイントはメッセージングアプリ(iMessage、WhatsApp、SMS…)です。
一方、「ゼロクリック」攻撃は、ターゲットがどこでもクリックする必要なしに脆弱性を悪用します。 これらの脆弱性により、攻撃者はターゲットデバイスとそのデータ(カメラ、マイク、ジオロケーション、画像、会話など)にほぼ完全にアクセスできました。
「ゼロデイゼロクリック攻撃」は、上記のXNUMXつの組み合わせです。 まだ心配ですか?
これらの攻撃はデジタル資産にも害を及ぼします
残念ながら「ゼロデイ"と"ゼロクリック」攻撃はPegasusスパイウェアに限定されません。 ソフトウェアウォレットが本質的に安全だと思った場合は、もう一度考えてみてください。 次の動画は、元帳ドンジョンチームがスマートフォンをハッキングしてのシードフレーズに簡単にアクセスできたことを示しています。 MetaMask、Coinbase, Blockchain.com ソフトウェアウォレット。
次のビデオは、被害者が入力したユーザーパスワードを盗むマルウェアをシミュレートしています。 次に、Electrumウォレットデータを復号化し、シードを表示するために使用されます。
次のビデオは、偽のビットコインティッカーウィジェットを装ったマルウェアを強調しています。 マルウェアはデバイスの脆弱性を悪用して、暗号化されたシードをリモートサーバーに侵入させます。 次に、サーバーはパスワードをブルートフォースしてシードを復号化します。
次のビデオは、CoinbaseWalletを使用した同等のプロセスを示しています。
この最後のビデオは、Blockchain.comウォレットを標的とするスパイウェアを示しています。 ユーザーが被害者の指紋を使用して認証されると、暗号化キーのロックが解除され、ウォレットデータが復号化されます。
全体として、プロセスは実際には非常に単純です。 ハッカーは、通知なしにメッセージを送信します。 このメッセージは脆弱性を悪用し、攻撃者がアプリをスパイし、インターネットを介してシードフレーズを盗み出すことを可能にします。 次に、ハッカーはシードを自分のコンピューターに送り返します。 クリックは必要ありません。控えめに言っても、これは悪意のあるエクスプロイトです。
あなたの暗号については? なくなった。
教訓は明らかです: Web3デジタル資産をラップトップやスマートフォンなどのWeb2デバイスに配置しないでください。 設計上安全ではありません。つまり、持ち物を安全な場所に置いておくことができないソフトウェアプログラム(iOSまたはAndroid)で実行されます。.
なぜ暗号の安全性はハードウェアベースである必要があるのですか?
暗号の世界は宝物でいっぱいですが、冒険は常に安全でなければなりません。 当社のハードウェアウォレットであるLedgerNanoSおよびNanoXが、デジタル資産にとって最も安全なストレージソリューションである理由は次のとおりです。
- まず、設計上、マルウェアからユーザーを保護します。 当社のハードウェアウォレットは、独自にトランザクションに署名する独立したデバイスです。 秘密鍵の暗号化素材は常にデバイス内にとどまります。 通信するアプリケーションに送信されることはありません。 したがって、マルウェアがキーにアクセスできない場合、キーはオフラインに保たれます。
- 次に、デバイスには画面が埋め込まれているため、秘密鍵を操作するときにアクションを確認できます。 携帯電話やデスクトップコンピュータで取引を行うと、マルウェアがあなたの情報にアクセスしたり、アドレスを交換/変更したりする可能性があります。 当社のオンデバイス認証は、非常に効率的な対策です。
オフラインキーとデバイス上の認証は、ハードウェアデバイス上のデジタル資産を完全に保護するための重要なツールです。
結論:
暗号通貨がより一般的になるにつれて、残念ながら、ウォレットに対する攻撃はますます巧妙になります。 Ledgerでは、デジタル資産を管理する際に最も安全なエクスペリエンスを提供することを目指しています。
ソース:https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe
- &
- 2020
- アクセス
- 冒険
- 許可
- アンドロイド
- アプリ
- 申し込み
- アプリ
- 記事
- 資産
- 攻撃
- Bitcoin
- ブロックチェーン
- ブログ
- ブログの投稿
- クライアント
- coinbase
- コマンドと
- コンピューター
- コンテンツ
- 会話
- クリプト
- 暗号業界
- 暗号通貨
- データ
- 解読する
- 設計
- Devices
- DID
- デジタル
- デジタル資産
- エレクトロ
- 暗号化
- 等
- イーサリアム
- 体験
- 悪用する
- 偽
- 特徴
- フランス
- フル
- 政府
- グループ
- ハック
- ハッカー
- ハッカー
- Hardware
- ハードウェア財布
- 認定条件
- HTTPS
- 含めて
- 産業を変えます
- 情報
- インターネット
- 主要株主
- iOS
- IT
- キー
- キー
- 神様です。
- ノートパソコン
- 元帳
- 限定的
- メーカー
- マルウェア
- 材料
- メッセージング
- メッセージングアプリ
- モバイル
- 携帯電話
- モロッコ
- ドワーフ
- NSOグループ
- 開きます
- その他
- パスワード
- フレーズ
- プレイヤー
- 投稿
- 社長
- プライベート
- 秘密鍵
- プログラム
- 守る
- ラン
- ランニング
- 安全な
- 安全性
- 画面
- シード
- 簡単な拡張で
- スマートフォン
- ソフトウェア
- ソリューション
- 米国
- 滞在
- ストレージ利用料
- 監視
- ターゲット
- 技術的
- テクノロジー
- 取引
- users
- ビデオ
- 動画
- 脆弱性
- 脆弱性
- 財布
- 財布
- Web3
- X
- ユーチューブ