Io l'ho comprato da Amazon, perchè mi arrivava subito e mi è arrivato in scatola cellofanata (ok questo non vuol dire niente...).
Dici che ho fatto una sciocchezza? Al momento l'ho uso da un pò senza problemi. Ho però letto attentamente le istruzioni e non puoi essere fregato, infatti è la Ledger stessa (non io) che dice che non mette un sigillo di garanzia per l'apertura della scatola perchè non serve. Cioè una volta che fai la procedura da zero, mettendo il tuo PIN e in particolare creando il tuo seed di 24 parole (procedura da fare all'inizio obbligatoriamente), questo è resettato ex-novo a livello hardware nel chip. Se qualcuno lo avesse manomesso non ti farebbe fare la procedura di generazione seed.
Io preso direttamente dal sito del produttore. Ho letto la stessa cosa. Tuttavia, non ci sono mai certezze.
Ho trovato un articolo in rete a riguardo (in inglese, se volete posso tradurlo io stesso):
“The vulnerability arose due to Ledger’s use of a custom architecture to work around many of the limitations of their Secure Element,” Rashid explains in a blog post. “An attacker can exploit this vulnerability to compromise the device before the user receives it, or to steal private keys from the device physically or, in some scenarios, remotely.”
La cosa che mi preoccupa e' il riferimento all'attacco remoto.
Il link all'articolo qui
https://thenextweb.com/hardfork/2018/03/20/ledger-nano-s-hack-cryptocurrency
Tuttavia, non ci sono mai certezze
Anch'io ho preso sia il ledger che il trezor dal sito del produttore. Pur tuttavia, come è stato sopra ricordato, è la stessa ledger a ricordare che non è possibile manipolarti il device prima che tu ne vieni in possesso, per cui non protegge neanche con sigilli particolari la confezione stessa.
Poi niente è sicuro a sto mondo, però è pur vero che non sono a conoscenza che la sicurezza di un Ledger sia mai stata violata, almeno finora.
L'articolo che tu fai riferimento sono vulnerabilità scoperte mesi fa da Saleem Raschid, uno sviluppatore (anzi un ragazzino mi pare, ma un genio dell'informatica), che le ha svelate pubblicamente a marzo. Tra l'altro in questo modo rinunciando (se non dico una sciocchezza), anche al premio messo in palio dalle Ledger stessa per chi trova vulnerabilità ai loro prodotti (c'è un anti-disclosure).
Si tratta di attacchi estramamente complessi e di difficile implementazione, ma possibili (vabbè io non sono un esperto informatico, riporto solo le info). Qua l'articolo originale di Saleem:
https://saleemrashid.com/2018/03/20/breaking-ledger-security-model/Grazie alle sue scoperte, è stato rilasciato dalle Ledger l'aggiornamento 1.4 (quello di cui stiamo parlando qua) che dovrebbe avere risolto queste potenziali vulnerabilità...
