Saleem△Rashid
一位自称现年只有15岁的英国骇客Saleem△Rashid在本周二(3/20)揭露了知名硬件加密货币钱包Ledger的安全漏洞,并以视频展示如何窜改Ledger△Nano△S的备份种子(Recovery△Seed),Ledger同一天即表示已于两周前释出的韧体更新修补了该漏洞,也曝露了Rashid与Ledger之间的不合。
加密货币的安全性是由公钥与私钥来把关,但用户很容易不小心遗失或外泄自己的私钥,于是就有硬件钱包的诞生,以安全保存使用者的私钥。Ledger所打造的Ledger△Nano△S即是一个支援比特币、以太币与Altcoins等加密货币的硬件钱包,可保障加密货币资产与交易的安全性,定价为79欧元(约2,880元新台币)。
Rashid所发现的安全漏洞允许他在Ledger△Nano△S尚未出货前就窜改装置的备份种子,由于所有的私钥都来自备份种子,代表骇客之后可窃取所有存放至该装置的加密货币,且是属于供应链端的攻击。
Ledger则说,Rashid所揭露的漏洞必须在装置未产生备份种子时就展开攻击,以骇客自己的备份种子取代自动产生的备份种子,倘若使用者是自合法经销商购得Ledger△Nano△S,并不容易遇到上述攻击,若是买到二手Ledger△Nano△S,只要更新韧体就能解决,不论如何,目前并未发现实际的攻击案例。
此外,Ledger在两周前释出的Ledger△Nano△S韧体更新其实修补了来自3个不同安全人员所提交的漏洞,当中的两个安全人员都获得了Ledger的抓漏奖金,只有Rashid拒绝收受。
Rashid表示,这是因为Ledger执行长Eric△Larchevêque在Reddit上所描述的技术细节并不正确,他担心对方无法妥善解释,再加上Ledger的责任揭露协议却又要求他不得公布技术细节,于是他只好选择拒绝。
其实Rashid去年11月就将漏洞资讯及攻击程式码提交给Ledger,只是双方之间的沟通并不愉快。Rashid拒绝提供更多的个人资讯,仅说他住在英国,是个自学的程式设计师。
I 相关 / Other
2017年底,位于中东的一家石油工厂突然发生设备故障的紧急事件,导致生产流程被迫中断。由于一些制程安全控制器自动切换至失效保护模式,让该公司察觉事态不对劲,遂寻求资安公司协助事件调查。结果,终于揭发第一起
四牛鎏金骑士贮贝器。在纪录片《如果国宝会说话》中,滇国的青铜贮贝器引起观众的浓厚兴趣。“元封二年(公元前109年)天子发巴蜀兵,击灭劳浸、靡莫,以兵临滇,滇王始首善,以故弗诛……于是以为益州郡,赐滇王王印
货币是具有明确价值并被市场接受和使用的特殊商品,只有国家发行的货币才具有真正价值,拥有货币就是拥有财富。可是,货币是有限的,于是,就有一些人冒着触犯法律的风险去伪造货币。在中国,自商代出现实物货币后,
参考消息网3月20日报道英媒称,一张旧邮票上的DNA揭开了谁是英国最著名弃婴之父的谜团。据英国《镜报》网站3月19日报道,1937年8月,一对母女在塞克斯南部丘陵的一个黑莓树丛下发现9个月大的安西娅·林,彼时她身体赤
印度陆军通过Twitter警告中国骇客正试图渗透WhatsApp群组。 印度陆军上周六(3/17)通过官方Twitter帐号,公开警告当地的WhatsApp用户应小心中国骇客的入侵。该官方帐号先是以印度文提醒当地的社交媒体用户要注意资