Ledger es una cartera de criptomonedas en formato hardware que soporta varias divisas, entre ellas las populares Bitcoin y Ethereum. Días atrás se halló en ese dispositivo una vulnerabilidad que abre la puerta a ataques de tipo man-in-the-middle, pudiendo los atacantes robar el dinero de la víctima.
La empresa reconoció la existencia del fallo de seguridad el pasado 3 febrero, del cual se publicó un documento PDF en DocDroid. Mediante su explotación, un actor malicioso podría suministrar a los clientes direcciones de recibo falsas, desviando así el dinero enviado por la víctima hacia las carteras de los atacantes en lugar del verdadero destinatario. El investigador que descubrió el problema no se ha identificado.
Ledger dice en unas instrucciones publicadas en su sitio web que su “cartera genera una nueva dirección cada vez que se quiera recibir un pago”, aunque la página fue actualizada el 5 de febrero para dar información relacionada con la vulnerabilidad hallada en sus carteras de hardware. La característica mencionada, la de generar “una nueva dirección cada vez que se quiera recibir un pago”, es la que explotan los actores maliciosos para llevar a cabo el ataque. Ledger avisa que un “atacante podría estar teniendo el control de la pantalla de la computadora y mostrar una dirección incorrecta que la convertiría en la beneficiaria de cualquier transacción que se envíe”. El informe explica que esto es posible debido al uso por parte de la cartera de código JavaScript sobre el dispositivo en la que se encuentra conectada.
Si un malware presente en la computadora realiza un ataque man-in-the-middle, lo único que tiene que hacer para robar el dinero es reemplazar el código responsable de generar la dirección de recibo por otra perteneciente al atacante. Tanto el informe como la documentación de Ledger ofrecen vías para verificar que una dirección de Bitcoin es la correcta, como por ejemplo realizando una comparativa mediante la utilización de un código QR. En caso de que el código QR muestre la misma dirección que la escrita, significa que es la correcta.
Sin embargo, parece que el módulo descrito en el párrafo anterior no está presente en la interfaz de la cartera para realizar operaciones con la divisa Ethereum, por lo que la aplicación correspondiente podría no tener mitigación y no permitiría a los usuarios validar una dirección. Ante esta situación, Ledger recomienda utilizar un sistema operativo en vivo (live CD) para así evitar la ejecución sobre un entorno contaminado por un malware. La empresa reconoció ante los investigadores que no puede aplicar ningún cambio o corrección, pero que intentarán concienciar todo lo que puedan a los usuarios para que se protejan.
Pero tras el revuelo generado, Ledger publicó una serie de medidas a tomar para corregir la vulnerabilidad y ha anunciado que animará a los usuarios a utilizar la doble comprobación en su aplicación para Google Chrome, además de que extenderá dicha característica a otras divisas, siendo esta una solución que deja margen a los errores por parte del usuario. Por otro lado, ha anunciado el lanzamiento futuro de su programa de recompensas por vulnerabilidades encontradas, teniendo en estos momentos una dirección de email dedicada a esa tarea como alternativa provisional.
Fuente:https://www.muyseguridad.net/2018/02/09/vulnerabilidad-man-in-the-middle-carteras-ledger/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad