Это новость была в марте 2018, Леджер чуток впечатлился работой Рашида и быренько сделал две новые прошивки
Насколько я понял, Рашид нашел эту уязвимость еще в ноябре, о чем сразу сообщил Леджеру. 4 месяца, по-вашему, это быренько?
Да, это очень быренько, ящетаю. )) Поначалу они от него вообще отмахивались, как я понял, не веря тому, что его способ может модифицировать прошивку леджеров.
11 Nov 2017: Officially reported vulnerability to Nicolas Bacca, Ledger CTO. Vulnerability determined to be implausible.
14 Nov 2017: Demonstrated practical supply chain attack with modified MCU firmware and user interface. Sent source code to Bacca.
30 Dec 2017: Bricked the Ledger Nano S by downgrading the firmware to an unsupported version.
06 Mar 2018: Ledger released firmware update for Ledger Nano S.
20 Mar 2018: Write-up and proof-of-concept code released.
Т.е. 30 декабря Рашид смог чего-то там продемонстрировать леджеровскому CTO, а 6 марта уже была готова прошивка, закрывающая эту уязвимость. И только после этого Рашид опубликовал запись в блоге.
Ну нашел один умник на всей планете способ обмануть "механизм проверки" (т.е. он не доказал и не показал, что сможет украсть ключи из леджера, а лишь обмануть проверку легитимности кода), способ этот требует физического контакта хакера и аппарата, опять же (Покупайте у официалов и никогда у перекупов).
Опубликовал он свое сообщение уже после обновы. Вряд ли Рашид рассылал всем знакомым хакерам способ хакнуть аппарат, за амбициозным мальтшиком наверняка следит киберслужба.
В любом случае, в новой прошивке эта (довольно теоретическая) уязвимость закрыта, леджер безопасен и надежен, если вы его конечно не купили бэушным или непонятно у кого, со старой прошивкой и т.д.
