L'article Ledger révèle une faille Android ciblant les seed phrases crypto est apparu en premier sur Coinpedia Fintech News
L'équipe de recherche Donjon de Ledger a identifié des vulnérabilités de sécurité dans les processeurs MediaTek (couramment utilisés sur les téléphones Android) qui permettent à des acteurs malveillants de voler les codes PIN des téléphones des utilisateurs et leurs seed phrases crypto en quelques secondes. L'attaque se produirait même lorsque les appareils sont éteints.
L'équipe a mené un test de preuve de concept, où elle a réussi à obtenir des informations sensibles concernant plusieurs portefeuilles crypto logiciels (aussi appelés portefeuilles chauds). Les victimes comprenaient Trust Wallet, Kraken Wallet et Phantom.
Vol de crypto sur Android OS
Charles Guillemet, le directeur de la technologie de la société de portefeuilles matériels Ledger, a noté ce développement comme un "rappel que les smartphones ne sont pas conçus pour la sécurité".
Guillemet a ajouté que cela aurait pu affecter "des millions" de téléphones Android, car ils dominent l'utilisation mondiale en raison de facteurs économiques et de disponibilité.
Suite au rapport, MediaTek a pris des mesures pour corriger le bug, tandis que Trust Wallet a introduit une nouvelle fonctionnalité de sécurité empêchant la manipulation des adresses crypto.
Quelle méthode de stockage est sûre ?
Les portefeuilles matériels/froids, tels que Ledger et Trezor, ont acquis une réputation pour offrir une meilleure sécurité aux crypto-monnaies par rapport aux portefeuilles logiciels. C'est parce qu'ils utilisent des puces séparées du processeur principal du téléphone.
Pourtant, avec 78 % d'utilisation mondiale, les portefeuilles chauds sont le choix dominant parmi les détenteurs de crypto en raison de leur efficacité économique et de leur facilité d'utilisation.
Même alors, les utilisateurs de stockage à froid ont été victimes de vol de crypto par ingénierie sociale, manipulation de la chaîne d'approvisionnement, extraction physique d'appareils et négligence flagrante.
Un bon exemple de ce dernier cas est le Service des impôts sud-coréen, qui a accidentellement publié la seed phrase d'un portefeuille matériel crypto saisi. Un exemple d'attaques par force brute ou attaques violentes est le cas récent du couple français qui s'est fait voler près d'1 million de dollars en Bitcoin.
Quant aux systèmes d'exploitation, les utilisateurs d'iOS n'ont pas été totalement épargnés, avec la vulnérabilité Coruna exploitant des informations sensibles sur les crypto-monnaies sur les anciennes versions d'iOS.
Les clés des utilisateurs peuvent toujours être volées lors de l'exécution d'un nœud, donc les portefeuilles multi-signatures sont peut-être l'une des méthodes les plus "ignifuges" pour stocker des crypto-monnaies.
Source : https://coinpedia.org/news/ledger-reveals-android-flaw-targeting-crypto-seed-phrases/
