15岁男孩发现硬件钱包Ledger漏洞，00后生力军逆袭！

3月20日，硬件钱包制造商Ledger发布了一份固件更新，以修补几个安全漏洞。这些漏洞是由三名白帽黑客发现的，其中一名叫Saleem Rashid，是一名15岁的英国男孩。他发现的攻击载体是基于硬件的，并不局限于Ledger设备，这使得单靠软件很难完全缓解这个问题。

 
谁发现的漏洞？
 

3月20日，Ledger发布了固件更新1.4.1，并附有一篇博客文章，承诺“深入探讨安全问题”：

在负责任的公开漏洞信息之后，我们对固件1.4补丁的攻击媒介进行了全面详细的评估，这最初由三位安全研究人员报告的。由于这些技术细节的发布可能会降低未修补设备的安全级别，并会带来潜在的威胁，因此我们强烈建议用户固件进行更新。

Saleem Rashid发现这个漏洞吸引了众人的目光！因为他不仅年龄很小，而且他还发表了一篇关于他如何实现这一壮举的详解文章：

攻击者在用户接收设备之前可以利用这个漏洞破坏该设备，或者在设备上窃取私钥，在某些情况下，还可以远程窃取私钥。我已经在一个真正的硬件钱包Ledger Nano S上演示了这种攻击。此外，我在几个月前将源代码发送给Ledger，这样他们就可以打开这个设备，这样就可以很轻松地打开设备并进行篡改……

 
白帽黑客放弃了他的赏金
 

硬件钱包制造商Ledger说安全研究人员已被要求签署赏金奖励协议，作为获得报酬的条件之一，同时指出这并不妨碍研究人员发布自己的报告。据悉，这三位研究人员都乐意遵守这项协议，但事实这并非如此。Saleem Rashid实际上放弃了他的赏金，他解释道：

我还没有得到Ledger的赏金，因为他们对漏洞的披露会影响我对这份技术报告的发布。我为了发布这份报告而放弃了赏金，主要是因为Ledger首席执行官EricLarchevêque在Reddit上发表了从技术上讲不准确的评论。由于这个原因，我开始担心这个漏洞不能正确地被客户理解。

这位男孩认为，Ledger试图淡化漏洞的严重性。出版一份完整和坦率的报告，以说明他如何攻击硬件钱包Ledger。虽然放弃了物质上的奖励，但他获得了更高的声望。Saleem Rashid很聪明，超越了年龄的深度，他就的文章虽冗长但令关注者们着迷。

 
经历此事件后，Ledger钱包在人们心中的地位可能会下降。密码学教师Matthew Green 在回应Rashid的博客时，探讨了完全防止这类攻击的难度。他捧上一碗“心灵鸡汤”：“上面的帖子并不意味着你应该对这些病毒感到恐惧，或许你应该假设其他钱包更好。”