En büyük kripto para donanım cüzdanları üreticisi olan Ledger, dün Ledger Nano S’in geliştirilmiş versiyonu olan Ledger Nano X‘i duyurdu.
Yeni cihaz, Nano S’ten farklı olarak Bluetooth özelliği taşıyor. Bunun yanı sıra daha büyük bir ekrana ve daha büyük bir depolama alanına sahip. Ayrıca şarj edilebilir bataryası ile USB kablosu ya da USB şarj cihazına bağlı olmaksızın çalışabiliyor.
Ledger Nano X’in Bluetooth desteği taşımasının kripto paralar için güvenlik zafiyeti yaratabileceği konuşulmaya başlandı. Akıllarda soru işaretleri yaratan bu meseleyi uzmanına sorduk.
Türkiye’nin tek siber güvenlik dergisi Arka Kapı Dergisi’nin yazarı ve güvenlik araştırmacısı Ulaş Fırat Özdemir, konuyu şöyle açıklığa kavuşturdu:
“İlk olarak, BlueBorne gibi bir durumda (Bluetooth çipi master çipe sınırsız yetki ile erişebiliyor ise) Bluetooth güvenlik zincirindeki en zayıf halka haline geliyor. Bir de bu arayüze kablosuz olarak erişebildiğimizi düşünürsek Bluetooth implementasyonundaki en küçük hata probleme yol açabilir. Bunun haricinde aynı markanın Ledger Blue cüzdanında bulunan zafiyet nedeniyle ekrandaki bilgi okunabiliyordu. Bu zafiyet ise ekrana veri gönderen iletkenden radyo sinyallerinin yayılmasıydı. Bu sinyalleri RF ile işleyerek anlaşılabilir hale getirmişler. Bu ekrana key’i yazdırınca dışarıdan okuyabilmek anlamına geliyor. Yani RF ile aralarının iyi olmadıkları belli. Bu da yan kanal saldırılarına izin veriyor. Bence Blue’ya olan saldırıdan sonra sinyal alışverişi yapmak yerine sinyal sızmasını engellemeleri gerekirdi.”
Özdemir, sözlerinin devamında şunları söyledi:
“Protokol bazında bu cüzdan Bluetooth iletişiminin dinlenebileceğini ve değiştirilebileceğini kabul ederek çalışıyor. Mantığı şöyle:
1- Bilgisayar imzalanmamış bir para iletimi isteği yaratıyor ve bunu Bluetooth ile cüzdana gönderiyor.
2- Cüzdan bunu private key ile imzalıyor ve Bluetooth üzerinden geri gönderiliyor.
Burada oluşabilecek üç saldırı var:
1- DoS. Eğer bilgisayardan gönderilen veri ilk olarak hacker’lar tarafından okunursa modifiye edilip cihaza gönderilebilir. Bu sayede cihazdan dönen cevap yanlış isteğin imzalı hali olacaktır ve bilgisayardaki yazılım bunu kabul etmez.
2- DoS. Eğer cihaza bluetooth üzerinden devamlı istek gelirse cihaz bilgisayardan gelen gerçek isteklere yanıt veremez.
3- Modifikasyon. Eğer cihaza giden veri değiştirilirse ve son kullanıcı yazılımı bunu kontrol etmiyorsa gerekenden çok daha büyük bir meblağın farklı bir adrese gitmesi mümkün olabilir.”
Bitcoin'in 2009'da piyasaya sürülmesinden kısa bir süre sonra madencilik yoluyla çıkarılan 3 milyon doların üzerindeki…
Akşam saatlerinde PayPal USD'nin (PYUSD) fiyatında dikkat çekici bir hareketlilik görüldü. OKX borsasında fiyat, dakikalar…
Binance borsası Gerçek Dünya Varlıkları (GDV'ler-RWA'lar) konusunda önemli bir rapor yayımladı. Özellikle BlackRock ve Franklin…
ABD'de tarım dışı istihdam rakamı 254 bin olarak açıklandı. Beklenti 150 bindi. %4.2 olarak beklenen…
Dünyanın en büyük kripto para borsalarından biri olan Coinbase, Avrupa Ekonomik Bölgesi'ndeki hizmetlerinde MiCA kapsamına…
Tüm dünya Ortadoğu'daki sıcak gelişmelere kilitlenmişken, ABD seçimlerine ise 1 aylık süre kaldı. 5 Kasım'daki…
Leave a Comment