นักวิจัยด้านความปลอดภัยที่กล่าวว่าตัวเอง “ทำงานอย่างอิสระ” วัยเพียงแค่ 15 ปีชื่อ Saleem Rashid ได้ค้นพบช่องโหว่สำคัญมาก 3 รายการในวอลเล็ตเงินคริปโตแบบฮาร์ดแวร์ยี่ห้อดังอย่าง Ledger ที่เปิดช่องให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้ก่อนที่ผู้ใช้ปลายทางจะนำเอามาใช้งานจริงเสียอีก
โดยเขาได้เขียนบล็อกอธิบายว่า เขาทดลองเจาะระบบของวอลเล็ตแบบฮาร์ดแวร์รุ่น Ledger Nano S ที่มีราคาในท้องตลาดประมาณ 100 ดอลลาร์สหรัฐฯ พร้อมสร้างประตูหลังที่เปิดให้เขาสามารถเข้าถึงอุปกรณ์ได้ตลอดเวลาชนิดที่แทบไม่ต้องใช้ความพยายามอะไรให้ซับซ้อนเลย
ซึ่งการใช้ประโยชน์จากช่องโหว่ดังกล่าวนั้น ทำให้แฮ็กเกอร์ดูดข้อมูลรหัสพินของผู้ใช้ เพื่อเข้าไปดูดเงินคริปโตทุกซอกทุกมุมในวอลเล็ตได้อย่างเงียบๆ โดยที่ผู้ใช้ไม่รู้ตัว ซึ่ง Saleem อธิบายว่าเป็นการโจมตีแบบแทรกกลางระหว่างขั้นตอนการส่งมอบผลิตภัณฑ์ดังกล่าวให้ลูกค้าปลายทางหรือ Supply Chain Attack
ทั้งนี้ Saleem ได้รายงานช่องโหว่ดังกล่าวไปยังซีทีโอของ Ledger แล้วตั้งแต่ 11 พฤศจิกายนปีที่ผ่านมา ซึ่งเมื่อวันที่ 8 มีนาคม บริษัทก็ได้ออกตัวอัพเดตเฟิร์มแวร์สำหรับวอลเล็ตรุ่น Ledger Nano S แล้ว ขณะที่วอลเล็ตที่ได้รับผลกระทบอีกรุ่นอย่าง Ledger Blue ยังไม่มีแพทช์ออกมา ส่วนทางฝั่งนักวิจัยรุ่นเยาว์ก็โดนเสียงวิจารณ์ว่าตัวเองมีเอี่ยวกับคู่แข่งของ Ledger อย่าง Trezor แบบชวนให้คิดว่าโดนจ้างมาแหกหน้าแทนหรือเปล่า จนเจ้าตัวต้องออกมาแก้ต่างในทวีตอย่างรุนแรง
ที่มา : Hackread
