En büyük kripto para donanım cüzdanları üreticisi olan Ledger, dün Ledger Nano S’in geliştirilmiş versiyonu olan Ledger Nano X‘i duyurdu.
Yeni cihaz, Nano S’ten farklı olarak Bluetooth özelliği taşıyor. Bunun yanı sıra daha büyük bir ekrana ve daha büyük bir depolama alanına sahip. Ayrıca şarj edilebilir bataryası ile USB kablosu ya da USB şarj cihazına bağlı olmaksızın çalışabiliyor.
Ledger Nano X’in Bluetooth desteği taşımasının kripto paralar için güvenlik zafiyeti yaratabileceği konuşulmaya başlandı. Akıllarda soru işaretleri yaratan bu meseleyi uzmanına sorduk.
Türkiye’nin tek siber güvenlik dergisi Arka Kapı Dergisi’nin yazarı ve güvenlik araştırmacısı Ulaş Fırat Özdemir, konuyu şöyle açıklığa kavuşturdu:
“İlk olarak, BlueBorne gibi bir durumda (Bluetooth çipi master çipe sınırsız yetki ile erişebiliyor ise) Bluetooth güvenlik zincirindeki en zayıf halka haline geliyor. Bir de bu arayüze kablosuz olarak erişebildiğimizi düşünürsek Bluetooth implementasyonundaki en küçük hata probleme yol açabilir. Bunun haricinde aynı markanın Ledger Blue cüzdanında bulunan zafiyet nedeniyle ekrandaki bilgi okunabiliyordu. Bu zafiyet ise ekrana veri gönderen iletkenden radyo sinyallerinin yayılmasıydı. Bu sinyalleri RF ile işleyerek anlaşılabilir hale getirmişler. Bu ekrana key’i yazdırınca dışarıdan okuyabilmek anlamına geliyor. Yani RF ile aralarının iyi olmadıkları belli. Bu da yan kanal saldırılarına izin veriyor. Bence Blue’ya olan saldırıdan sonra sinyal alışverişi yapmak yerine sinyal sızmasını engellemeleri gerekirdi.”
Özdemir, sözlerinin devamında şunları söyledi:
“Protokol bazında bu cüzdan Bluetooth iletişiminin dinlenebileceğini ve değiştirilebileceğini kabul ederek çalışıyor. Mantığı şöyle:
1- Bilgisayar imzalanmamış bir para iletimi isteği yaratıyor ve bunu Bluetooth ile cüzdana gönderiyor.
2- Cüzdan bunu private key ile imzalıyor ve Bluetooth üzerinden geri gönderiliyor.
Burada oluşabilecek üç saldırı var:
1- DoS. Eğer bilgisayardan gönderilen veri ilk olarak hacker’lar tarafından okunursa modifiye edilip cihaza gönderilebilir. Bu sayede cihazdan dönen cevap yanlış isteğin imzalı hali olacaktır ve bilgisayardaki yazılım bunu kabul etmez.
2- DoS. Eğer cihaza bluetooth üzerinden devamlı istek gelirse cihaz bilgisayardan gelen gerçek isteklere yanıt veremez.
3- Modifikasyon. Eğer cihaza giden veri değiştirilirse ve son kullanıcı yazılımı bunu kontrol etmiyorsa gerekenden çok daha büyük bir meblağın farklı bir adrese gitmesi mümkün olabilir.”
BtcTurk’ün sıcak cüzdanlarından 50 milyon doların üzerinde kripto para şüpheli şekilde çekildi. Borsa, teknik sorun…
ABD’li Thumzup, kripto madenciliğine açılmak ve Bitcoin'in de aralarında olduğu 6 kripto paraya yatırım yapmak…
Yatırımlarını tüm dünyanın takip ettiği Norveç Varlık Fonu, dolaylı yoldan da olsa Bitcoin alımlarına devam…
ABD'de kripto regülasyonlarının açıklığa kavuşmasıyla birlikte ETF başvuruları da arttı. ETF uzmanı Nate Geraci de,…
Ether'deki yükseliş ve yeni zirvenin geleceğine olan inanç opsiyon işlemleri yapan yatırımcıları da harekete geçirdi.…
Son günlerde, 4 yıl önce gördüğü seviyeleri tek tek aşarak yoluna devam eden Ether'de gizemli…
Leave a Comment