La empresa de Wallets físicas de criptomonedas, Ledger, afirmó en una publicación oficial el día de ayer que las vulnerabilidades recientemente descubiertas en sus productos no son críticas.
La polémica se generó luego de que en el 35º Congreso de Computer Chaos en Leipzig, Dmitry Nedospasov, Thomas Roth y Josh Datko hicieron una presentación llamada wallet.fail, en la que intentaron demostrar que las Wallets de hardware son vulnerables a varios tipos de ataques. Especfícamente, los investigadores fueron capaces de hackear el Trezor One, el Ledger Nano S y el Ledger Blue.
Sin embargo, la compañía desestimó la gravedad de esas vulnerabilidades. Afirmando que “no lograron extraer ninguna seed ni PIN en un dispositivo robado” y “los activos confidenciales almacenados permanecen seguros“. Para Ledger, lo que realmente se demostró es que se pueden “modificar físicamente el Ledger Nano S e instalar malwares en la PC de la víctima podría permitir que un atacante cercano realice una transacción después de ingresar el PIN”. Y para la compañía tal acción sería “bastante impráctico” para un hacker.
Por otra parte, para el ataque a Ledger Blue se aprovechó el canal lateral de prueba de concepto de la Wallet. Para ello utilizaron algoritmos de inteligencia artificial en la entrada del PIN. Así, cuando el usuario ingresa su PIN, se mide la emanación de radio y trata de adivinar qué dígito se ha ingresado en la pantalla.
Al respecto Ledger afirma que tal método es interesante, pero “poco realista y poco práctica“, y agrega que la “la posición del receptor y el dispositivo atacado debe ser exactamente la misma, la posición del cable USB también es primordial (ya que actúa como una antena) “.
Al final, la compañía da una señal de confianza a sus clientes diciendo que “No se preocupe, sus criptoactivos aún están seguros en su dispositivo”.
