ဘရာဇီးအခြေစိုက် လုံခြုံရေးသုတေသီတစ်ဦးသည် blockchains 20 တစ်လျှောက် ပိုက်ဆံအိတ်များကို ဖောက်ထုတ်ရန်အတွက် အန္တရာယ်ရှိသော firmware နှင့် အက်ပ်အတုများကို အသုံးပြု၍ Ledger Nano S+ အတုလုပ်ဆောင်မှုကို ဖော်ထုတ်ခဲ့သည်။
ဘရာဇီးနိုင်ငံအခြေစိုက် လုံခြုံရေးသုတေသီတစ်ဦးသည် အဆန်းပြားဆုံးအရာများထဲမှ တစ်ခုကို ဖော်ထုတ်ပြသခဲ့သည်။ Ledger Nano S+ အတု လုပ်ဆောင်ချက်များကို မှတ်တမ်းတင်ထားဖူးသည်။ တရုတ်စျေးကွက်မှ အရင်းအမြစ်ဖြစ်သော စက်ပစ္စည်းအတုသည် စိတ်ကြိုက် အန္တရာယ်ရှိသော ဆော့ဖ်ဝဲနှင့် ပုံတူပွားအက်ပ်ကို သယ်ဆောင်သွားခဲ့သည်။ တိုက်ခိုက်သူသည် အသုံးပြုသူများထည့်သွင်းသော မျိုးစေ့စကားလုံးတိုင်းကို ချက်ချင်းခိုးယူသွားပါသည်။
သုတေသီသည် ဈေးနှုန်း မမှန်ဟု သံသယဖြင့် ကိရိယာကို ဝယ်ယူခဲ့သည်။ ဖွင့်ကြည့်လိုက်တော့ အတုအပသဘာဝက ထင်ရှားတယ်။ စွန့်ပစ်မယ့်အစား မျက်ရည်အပြည့်နဲ့ လိုက်လာခဲ့တယ်။
Chip ထဲမှာ ဘာတွေ ဝှက်ထားလဲ။
စစ်မှန်သော Ledger Nano S+ သည် ST33 Secure Element ချစ်ပ်ကို အသုံးပြုထားသည်။ ဤစက်ပစ္စည်းတွင် ESP32-S3 အစား ခွဲခြားသတ်မှတ်ခြင်းကို ပိတ်ဆို့ရန်အတွက် ချစ်ပ်အမှတ်အသားများကို ရုပ်ပိုင်းဆိုင်ရာအရ သဲထဲ့ပေးခဲ့သည်။ Firmware သည် သူ့ကိုယ်သူ “Ledger Nano S+ V2.1” ဟု သတ်မှတ်ခဲ့သည် — မရှိသော ဗားရှင်းဖြစ်သည်။
မမ်မိုရီအမှိုက်ပုံးကို လုပ်ဆောင်ပြီးနောက် စုံစမ်းစစ်ဆေးသူများသည် ရိုးရိုးစာသားဖြင့် သိမ်းဆည်းထားသော မျိုးစေ့များနှင့် ပင်နံပါတ်များကို တွေ့ရှိခဲ့သည်။ Firmware သည် kkkhhnnn ရှိ command-and-control server သို့ မီးပြသည်။[.]com ။ ဤဟာ့ဒ်ဝဲထဲသို့ ထည့်သွင်းထားသော မည်သည့် မျိုးစေ့စကားမဆို ချက်ချင်း ဖယ်ထုတ်ခံရသည်။
စက်ပစ္စည်းသည် ပိုက်ဆံအိတ်ဖောက်ထုတ်ရန်အတွက် အကြမ်းဖျင်း 20 blockchains များကို ပံ့ပိုးပေးသည်။ ဒါ အသေးအဖွဲ လုပ်ဆောင်ချက်တော့ မဟုတ်ပါဘူး။
တိုက်ခိုက်မှု Vectors ငါးခု၊ တစ်ခုမဟုတ်ပါ။
ရောင်းချသူသည် စက်နှင့်အတူ မွမ်းမံထားသော “Ledger Live” အက်ပ်ကို ထုပ်ပိုးထားသည်။ Developer များသည် Hermes v96 ကိုအသုံးပြု၍ React Native ဖြင့် app ကိုတည်ဆောက်ခဲ့ပြီး Android Debug လက်မှတ်ဖြင့် ၎င်းကို လက်မှတ်ရေးထိုးခဲ့သည်။ တိုက်ခိုက်သူများသည် တရားဝင်လက်မှတ်ရရှိရန် အနှောက်အယှက်မပေးခဲ့ပါ။
အပလီကေးရှင်းသည် APDU အမိန့်များကို ကြားဖြတ်ရန် XState တွင် ချိတ်ထားသည်။ ၎င်းသည် ဒေတာများကို တိတ်တဆိတ် ဆွဲထုတ်ရန် ခိုးဝှက် XHR တောင်းဆိုမှုများကို အသုံးပြုသည်။ စုံစမ်းစစ်ဆေးသူများသည် နောက်ထပ် command-and-control ဆာဗာနှစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်- s6s7smdxyzbsd7d7nsrx[.]icu နှင့် ysknfr[.]cn
၎င်းသည် Android အတွက် အကန့်အသတ်မရှိပါ။ အလားတူ လုပ်ဆောင်ချက်သည် Windows အတွက် .EXE နှင့် macOS အတွက် .DMG ကို AMOS/JandiInstaller အောက်တွင် Moonlock မှ ခြေရာခံထားသော ကမ်ပိန်းများနှင့် ဆင်တူသည်။ တစ်ခု iOS ပါ။ TestFlight ဗားရှင်းသည် App Store ပြန်လည်သုံးသပ်ခြင်းကို လုံးဝကျော်ဖြတ်ကာ CryptoRom လိမ်လည်မှုများနှင့် ယခင်က ချိတ်ဆက်ထားသော နည်းဗျူဟာတစ်ခုလည်းဖြစ်သည်။ စုစုပေါင်း vector ငါးခု- ဟာ့ဒ်ဝဲ၊ Android၊ Windows၊ macOS၊ iOS။
စစ်မှန်သောစစ်ဆေးမှုသည် ဤနေရာတွင် သင့်အား မကယ်တင်နိုင်ပါ။
Ledger ၏တရားဝင်လမ်းညွှန်ချက်တွင် စစ်မှန်သောစက်ပစ္စည်းများသည် ထုတ်လုပ်နေစဉ်အတွင်း လျှို့ဝှက်ကုဒ်ဝှက်ကီးတစ်ခုကို သယ်ဆောင်ထားကြောင်း အတည်ပြုသည်။ Ledger စစ်မှန်သော Check in Ledger Wallet သည် စက်ပစ္စည်းတစ်ခုနှင့် ချိတ်ဆက်သည့်အခါတိုင်း ဤသော့ကို အတည်ပြုပါသည်။ အရ လယ်ဂျာ၏ပံ့ပိုးမှုစာရွက်စာတမ်းစစ်မှန်သော စက်ကသာ ထိုစစ်ဆေးမှုကို ကျော်ဖြတ်နိုင်သည်။
ပြဿနာက ရှင်းပါတယ်။ ထုတ်လုပ်နေစဉ်အတွင်း အပေးအယူလုပ်ခြင်းသည် မည်သည့်ဆော့ဖ်ဝဲလ်စစ်ဆေးမှုကိုမဆို အသုံးမဝင်ပါ။ အန္တရာယ်ရှိသော ဆော့ဖ်ဝဲလ်သည် ယခင်အခြေခံစစ်ဆေးမှုများကို ဆက်လက်လုပ်ဆောင်ရန် မျှော်လင့်ထားသည့် အပြုအမူကို လုံလောက်စွာတုပသည်။ သုတေသီက ဒါကို ဖြိုခွဲမှုမှာ တိုက်ရိုက် အတည်ပြုခဲ့ပါတယ်။
အတိတ် ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုများသည် Ledger အသုံးပြုသူများကို ပစ်မှတ်ထားတိုက်ခိုက်သည်။ ထုပ်ပိုးမှုအဆင့် စစ်ဆေးခြင်းတစ်ခုတည်းနှင့် မလုံလောက်ကြောင်း အကြိမ်ကြိမ်ပြသခဲ့သည်။ BitcoinTalk တွင် မှတ်တမ်းတင်ထားသော အမှုများတွင် သုံးစွဲသူတစ်ဦးချင်းစီသည် ပြင်ပကုမ္ပဏီစျေးကွက်များမှ ဟာ့ဒ်ဝဲပိုက်ဆံအိတ်အတုအတွက် ဒေါ်လာ 200,000 ကျော်ဆုံးရှုံးသွားသည်ကို မှတ်တမ်းတင်ထားသည်။
ဤစက်ပစ္စည်းများကို မည်သည့်နေရာတွင် ရောင်းချနေသနည်း။
ပြင်ပဈေးကွက်များသည် ပင်မဖြန့်ဖြူးရေးလမ်းကြောင်းဖြစ်သည်။ Amazon ပြင်ပကုမ္ပဏီရောင်းချသူများ၊ eBay၊ Mercado Livre၊ JD နှင့် AliExpress တို့သည် အပေးအယူခံရသော ဟာ့ဒ်ဝဲပိုက်ဆံအိတ်များ၏ စာရင်းမှတ်တမ်းများကို မှတ်တမ်းတင်ခဲ့ကြသည်ဟု သုတေသီက r/ledgerwallet ပေါ်ရှိ Reddit ပို့စ်တွင် မှတ်သားခဲ့သည်။
စျေးနှုန်းအချက်သည် တမင်တကာ သံသယဖြစ်စရာဖြစ်သည်။ အဲဒါကတော့ လှည့်စားခြင်းပါပဲ။ တရားဝင်မဟုတ်သောရင်းမြစ်တစ်ခုသည် သဘောတူညီချက်တစ်ခုအနေဖြင့် လျှော့စျေး Ledger ကို မကမ်းလှမ်းပါ—၎င်းသည် တိုက်ခိုက်သူအတွက် အကျိုးရှိစေရန် အပေးအယူရှိသောထုတ်ကုန်ကို ရောင်းချသည်။
Ledger ၏တရားဝင်ချန်နယ်များသည် Ledger.com တွင် ၎င်း၏ကိုယ်ပိုင် e-commerce ဆိုက်ဖြစ်ပြီး နိုင်ငံပေါင်း 18 နိုင်ငံရှိ Amazon စတိုးများကို စစ်ဆေးခဲ့သည်။ တခြားဘယ်မှာမှ စစ်မှန်ကြောင်း အာမခံချက်မရှိဘူး။
သုတေသီက ဘာဆက်လုပ်မလဲ။
အဖွဲ့သည် Ledger ၏ Donjon အဖွဲ့အတွက် ပြီးပြည့်စုံသော နည်းပညာဆိုင်ရာ အစီရင်ခံစာကို ပြင်ဆင်ပြီး ၎င်း၏ ဖြားယောင်းခြင်း ဆုကြေးငွေ ပရိုဂရမ်အား Ledger ၏ အတွင်းပိုင်း ခွဲခြမ်းစိတ်ဖြာမှု အပြီးသတ်ပြီးနောက် အပြည့်အစုံကို ထုတ်ပြန်မည်ဖြစ်သည်။
သုတေသီသည် IOC များကို အခြားလုံခြုံရေးပညာရှင်များထံ တိုက်ရိုက်မက်ဆေ့ချ်များမှတစ်ဆင့် ရရှိစေခဲ့သည်။ သံသယဖြစ်ဖွယ်အရင်းအမြစ်မှစက်ပစ္စည်းကိုဝယ်ယူသူတိုင်းသည် သက်သေခံအကူအညီအတွက် ဆက်သွယ်နိုင်ပါသည်။
အဓိက အနီရောင်အလံများသည် ရိုးရှင်းပါသည်။ စက်ပစ္စည်းတွင်ပါရှိသော ကြိုတင်ထုတ်လုပ်ထားသော မျိုးစေ့စကားစုသည် လိမ်လည်မှုတစ်ခုဖြစ်သည်။ အက်ပလီကေးရှင်းတစ်ခုတွင် အမျိုးအနွယ်စကားစုကို ရိုက်ထည့်ရန် အသုံးပြုသူများအား စာရွက်စာတမ်းသည် လိမ်လည်မှုတစ်ခုဖြစ်သည်။ မည်သည့်ကိစ္စတွင်မဆို စက်ပစ္စည်းကို ချက်ချင်းဖျက်ဆီးပါ။
Comments are closed, but trackbacks and pingbacks are open.