မျိုးစေ့စာစုများနှင့် ပင်နံပါတ်များကို ဝှက်ထားသော Chip ခိုးယူထားသော လယ်ဂျာအတု ပိုက်ဆံအိတ်ကို ဖော်ထုတ်ထားသည်။
ဘရာဇီးနိုင်ငံမှ ဆိုက်ဘာလုံခြုံရေး သုတေသီတစ်ဦးသည် တရားဝင်စတိုးဆိုင်နှင့် စျေးနှုန်းတူသော တရုတ်စျေးကွက်စာရင်းမှ “ Ledger” ဟာ့ဒ်ဝဲပိုက်ဆံအိတ်ကို ဝယ်ယူပြီးနောက် ကြီးမားသော လှည့်စားမှုတစ်ခုကို ဖော်ထုတ်ပြသခဲ့သည်။ ထုပ်ပိုးမှုမှာ အကွာအဝေးမှ မူရင်းပုံသဏ္ဍာန်ရှိသော်လည်း စက်သည် အတုဖြစ်သည်။
သုတေသီသည် ၎င်းကို Ledger.com မှ ထည့်သွင်းထားသော Ledger Live သို့ ချိတ်ဆက်သောအခါ၊ ၎င်းသည် စစ်မှန်သော Ledger စက်မဟုတ်ကြောင်း အတည်ပြုပြီး စစ်မှန်သော စစ်ဆေးမှုကို ပျက်ကွက်ခဲ့သည်။ ဤချို့ယွင်းချက်ကြောင့် သုတေသီသည် စက်ကိုဖွင့်ပြီး ၎င်း၏အတွင်းပိုင်း ဟာ့ဒ်ဝဲနှင့် ဖိုင်မ်ဝဲကို စစ်ဆေးရန် ဦးဆောင်ခဲ့သည်။
ဝက်ဘ်ဆိုဒ်များနှင့် အန္တရာယ်ရှိသော အက်ပ်များ
အခွံအတွင်းပိုင်း သုတေသီ တွေ့တယ်။ ဟာ့ဒ်ဝဲပိုက်ဆံအိတ်တွင်အသုံးပြုသည့် အမျိုးအစားမဟုတ်ဘဲ လုံးဝကွဲပြားသော ချစ်ပ်တစ်ခု။ မှတ်ပုံတင်ခြင်းကို ဖုံးကွယ်ရန်အတွက် ချစ်ပ်အမှတ်အသားများကို ရုပ်ပိုင်းဆိုင်ရာအရ ခြစ်ထုတ်ခဲ့သည်။ သုတေသီ၏ Reddit ပို့စ်အရ၊ စက်ပစ္စည်းတွင် တကယ့် Ledger Nano S+ တွင်မပါရှိသော WiFi နှင့် Bluetooth အင်တင်နာပါရှိသည်။ ချစ်ပ်အပြင်အဆင်ကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ၎င်းတို့သည် ၎င်းအား အတွင်းပိုင်း flash memory ပါရှိသော ESP32-S3 အဖြစ် သတ်မှတ်ခဲ့သည်။
စက်ပစ္စည်းကို စဖွင့်သောအခါတွင်၊ ၎င်းသည် နံပါတ်စဉ်နံပါတ်များနှင့် Ledger စက်ရုံအထောက်အထားဖြင့် Ledger Nano S+ 7704 အဖြစ် ဖုံးကွယ်ထားခဲ့သော်လည်း နောက်ပိုင်းတွင် ၎င်း၏စစ်မှန်သော ထုတ်လုပ်သူအား Espressif Systems အဖြစ် ထုတ်ဖော်ခဲ့သည်။
Firmware ကို စွန့်ပစ်ပြီး နောက်ပြန်လှည့်၍ အင်ဂျင်နီယာချုပ်ပြီးနောက်၊ စက်ပေါ်တွင် ဖန်တီးထားသည့် PIN ကို စာသားဖြင့် သိမ်းဆည်းထားကြောင်း သုတေသီက တွေ့ရှိခဲ့သည်။ စက်ပေါ်ရှိ ပိုက်ဆံအိတ်များမှ အမျိုးအနွယ် စကားစုများကို လွင်ပြင်ဖြင့် သိမ်းဆည်းထားသည်။ Firmware တွင် ပြင်ပ command-and-control ဆာဗာများသို့ ညွှန်ပြသော hardcoded domain ကိုးကားချက်များ အများအပြားပါရှိသည်။ ဤတွေ့ရှိချက်များအရ စက်ပစ္စည်းသည် ပြင်ပဆာဗာများသို့ လင့်ခ်များဖြင့် အရေးကြီးသော ပိုက်ဆံအိတ်ဒေတာကို စုဆောင်းရန် ဒီဇိုင်းထုတ်ထားကြောင်း ဖော်ပြသည်။
သုတေသီသည် တိုက်ခိုက်မှုသည် လက်တွေ့တွင် မည်သို့လုပ်ဆောင်နိုင်သည်ကို ဆန်းစစ်ခဲ့သည်။ ဟာ့ဒ်ဝဲတွင် WiFi နှင့် ဘလူးတုသ် အင်တင်နာပါ၀င်သော်လည်း၊ ဖန်းဝဲလ်သည် ကြိုးမဲ့ဒေတာပေးပို့ခြင်း သို့မဟုတ် WiFi ချိတ်ဆက်မှုအမှတ်ချိတ်ဆက်မှုများ၏ အထောက်အထားကို မပြပါ။ ၎င်းတွင် သော့ခတ်ထိုးသွင်းခြင်း သို့မဟုတ် terminal command များအတွက် ဆိုးရွားသော USB script များမပါဝင်ပါ။ ယင်းအစား၊ တိုက်ခိုက်မှုသည် စက်ပစ္စည်းပြင်ပရှိ သုံးစွဲသူများ၏ အပြန်အလှန်တုံ့ပြန်မှုအပေါ် အားကိုးပုံပေါ်သည်။
၎င်းတို့အဆိုအရ၊ အသုံးပြုသူတစ်ဦးသည် ထုပ်ပိုးမှုတွင်ပါဝင်သော QR ကုဒ်ကို စကင်န်ဖတ်သည့်အခါ လိမ်လည်မှုစတင်သည်။ ဤ QR ကုဒ်သည် လယ်ဂျာ.com နှင့်တူသော ပုံတူပွားထားသော ဝဘ်ဆိုက်သို့ ဦးတည်စေသည်။ ထိုနေရာမှ သုံးစွဲသူများသည် Android၊ iOS၊ Windows သို့မဟုတ် Mac အတွက် “Ledger Live” အပလီကေးရှင်းအတုကို ဒေါင်းလုဒ်လုပ်ရန် တောင်းဆိုထားသည်။ အပလီကေးရှင်းအတုသည် အမြဲတမ်းဖြတ်သန်းနေသည့် စစ်မှန်သော စစ်ဆေးမှု မျက်နှာပြင်ကို ပြသသည်။ ထို့နောက် အသုံးပြုသူများသည် ပိုက်ဆံအိတ်များကို ဖန်တီးပြီး မျိုးစေ့ချထားသော စကားစုများကို ရေးမှတ်ကာ စနစ်ထည့်သွင်းခြင်းသည် ဘေးကင်းသည်ဟု ယုံကြည်ကြသည်။ ဤအတောအတွင်း၊ အက်ပ်အတုသည် တိုက်ခိုက်သူထိန်းချုပ်ထားသော ဆာဗာများသို့ မျိုးစေ့စာစုများကို ဖယ်ထုတ်သည်။
သုတေသီသည် Ledger Live အက်ပ်အတု၏ Android APK ဗားရှင်းကို စုစည်းပြီး နောက်ထပ် အန္တရာယ်ရှိသော အပြုအမူကို တွေ့ရှိခဲ့သည်။ အက်ပ်အား React Native နှင့် Hermes အင်ဂျင်ဖြင့် တည်ဆောက်ထားသည်။ ၎င်းကို မှန်ကန်သော လက်မှတ်ထိုးသော့အစား Android အမှားရှာပြင်လက်မှတ်ဖြင့် လက်မှတ်ရေးထိုးထားသည်။ ၎င်းသည် အက်ပ်နှင့် စက်ပစ္စည်းကြားရှိ APDU အမိန့်များကို ကြားဖြတ်ကာ ပြင်ပဆာဗာများသို့ ကိုယ်ပျောက်တောင်းဆိုမှုများ ပြုလုပ်ခဲ့ပြီး ပိတ်ပြီးနောက် မိနစ်အတော်ကြာ နောက်ခံတွင် ဆက်လက်လည်ပတ်နေပါသည်။
၎င်းသည် တိုက်ခိုက်သူများအား အပ်ငွေများနှင့် ပမာဏများကို ခြေရာခံနိုင်စေသည့် အများသူငှာသော့များကို အသုံးပြု၍ ပိုက်ဆံအိတ်လက်ကျန်များကို စောင့်ကြည့်ရန် တည်နေရာခွင့်ပြုချက်များကိုလည်း တောင်းဆိုခဲ့သည်။
Ledger Security တွင် ချို့ယွင်းချက်မဟုတ်ပါ။
သုတေသီက ၎င်းသည် zero-day vulnerability မဟုတ်ဘဲ Ledger ၏ လုံခြုံရေးဒီဇိုင်းတွင် ချို့ယွင်းချက်မဟုတ်ကြောင်း ပြောကြားခဲ့သည်။ Ledger ၏ စစ်မှန်သော စစ်ဆေးမှုနှင့် လုံခြုံသော အစိတ်အပိုင်းများကို မှန်ကန်စွာ လုပ်ဆောင်ရန် အတည်ပြုခဲ့သည်။ ယင်းအစား၊ ၎င်းကို ဟာ့ဒ်ဝဲအတု၊ အန္တရာယ်ရှိသောအက်ပ်များနှင့် ပြင်ပအခြေခံအဆောက်အအုံများ ပေါင်းစပ်ထားသည့် ဖြားယောင်းခြင်းလုပ်ငန်းအဖြစ် ဖော်ပြသည်။ အပြည့်အဝလည်ပတ်မှုတွင် ESP32-S3 ချစ်ပ်များပါသည့် ဟာ့ဒ်ဝဲစက်ပစ္စည်းများ၊ Android နှင့် အခြားပလပ်ဖောင်းများအတွက် ထရိုဂျန်ပြုထားသောအက်ပ်များနှင့် ဒေတာထုတ်ယူခြင်းအတွက် အသုံးပြုသည့် အမိန့်ပေးထိန်းချုပ်မှုဆာဗာများ ပါဝင်သည်။
Ledger စက်ပစ္စည်းအတုများကို ယခင်က အစီရင်ခံခဲ့ပြီးဖြစ်သော်လည်း၊ ဟာ့ဒ်ဝဲ၊ အက်ပ်များ၊ အခြေခံအဆောက်အအုံများနှင့် စျေးကွက်စာရင်းများနှင့် ချိတ်ဆက်ထားသော shell ကုမ္ပဏီမှတစ်ဆင့် ဖြန့်ကျက်မှုအပါအဝင် စနစ်အပြည့်အစုံကို မြေပုံဆွဲထားသောကြောင့် ယင်းကိစ္စနှင့် ကွဲပြားသည်။ သုတေသီသည် Ledger ၏ ဖောက်သည်အောင်မြင်ရေးအဖွဲ့ထံ အစီရင်ခံစာတစ်စောင် တင်သွင်းခဲ့ပြီး Malware ၏ Windows၊ macOS နှင့် iOS ဗားရှင်းများကို ထပ်မံခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် နည်းပညာပိုင်းပိုင်းခြားနားမှု အပြည့်အစုံကို ပြင်ဆင်နေပါသည်။
လွန်ခဲ့သောနှစ်အနည်းငယ်က အခြား Reddit အသုံးပြုသူ အစီရင်ခံပါတယ်။ စစ်မှန်သောပုံသဏ္ဍာန်ရှိသော အထုပ်တစ်ခုတွင် Ledger Nano X ကို လက်ခံရရှိသော်လည်း စာလုံးပေါင်းနှင့် သဒ္ဒါအမှားများကြောင့် စိုးရိမ်ပူပန်မှုများ ဖြစ်ပေါ်စေပါသည်။ ဒေတာပေါက်ကြားမှုတစ်ခုပြီးနောက် ၎င်းသည် အစားထိုးခြင်းဖြစ်သည်ဟု စာတွင် ဖော်ပြထားသည်။
လုံခြုံရေးကျွမ်းကျင်သူတစ်ဦးက ၎င်းတွင် malware ပေးပို့မှုနှင့် ခိုးယူမှုဖြစ်နိုင်ချေတို့အတွက် ရည်ရွယ်ထားသည့် USB ချိတ်ဆက်ကိရိယာသို့ ကြိုးတပ်ထားသည့် flash drive ပါရှိကြောင်း နောက်ပိုင်းတွင် တွေ့ရှိခဲ့သည်။
ထားပါတော့ မျိုးစေ့စာစုများနှင့် ပင်နံပါတ်များကို ဝှက်ထားသော Chip ခိုးယူထားသော လယ်ဂျာအတု ပိုက်ဆံအိတ်ကို ဖော်ထုတ်ထားသည်။ appeared first on CryptoPotato.
Comments are closed, but trackbacks and pingbacks are open.