داشتم در مورد Ledger Nano S تحقیق می کردم که یهویی به یه ویدیویی تو یوتوب رسیدم که داشت در مورد Ledger Nano S هک شده و یا کلاهبرداری از اون توضیح میداد.

 

به نظر میاد یه عده میان Ledger Nano S رو با پین کد و ۲۴ حرف از قبل آماده شده ارائه میدن و اونو به صورت بر چسب هایی که با خراشیدن نماین میشه در میارن و از این طریق کلاهبرداری می کنن. بعضی کاربرا هم فکر می کنن که خود شرکت اینو آماده کرده. هیچ وقت شرکت پین کد و ۲۴ حرف آماده رو در اختیار تون قرار نمیده. اگه به هر طریقی با چنین مسئله ای روبرو شدین کافیه که ۳ بار پین کد رو اشتباه وارد کنید تا همه چیز ریست شه و مجدد پین کد رو وارد و ۲۴ رمز حرف مربوطه رو دریافت کنید.

 

دومین مورد که یه جواریی هک به حساب میاد اینه که بعضی ها میان تراشه شو دستکاری می کنن و بعد به صورت دست دو می فروشن و از این طریق کلاهبرداری می کنن. سایت مرجع هم در این مورد هشدار های امنیتی داده و طریقه شناسایی صحت کالا رو توضیح داده :

https://support.ledger.com/hc/en-us/articles/115005321449-How-to-verify-the-security-integrity-of-my-Nano-S-

 

توضیحات این لینک به این صورته که :

المان امنیتی هنگام بوت ، فلش میکرو کنتلر رو چک می کنه و اگه ویرایشی صورت گرفته باشه بوت با پیغام خطایی مواجه میشه. برای این منظور می تونید Ledger Nano S رو باز کنید و ببینید که چیپ دیگه ای اضافه شده یا خیر. (گرچه هشدار داده که گارانتی میپره)

کرکتر های روی میکرو کنترلر می تونه متفاوت باشه نظیر stm2f042k6 اما استرینگ ۰۴۲K6 واسه همه شون یکسانه.

بعدش یه سری عکس هایی از تمام برد های اصلاح شده رو نمایش داده که برد شما میتونه یکی از اونها باشه.

 

اطلاعاتی در مورد تایید المان امنیتی :

المان امنیتی که مشخصه ساخت خود شرکت هستش توسط اجرای کد های زیر قابل وارسی شدنه :

pip install --no-cache-dir ledgerblue
Then on firmware 1.3.1 or below
python -m ledgerblue.checkGenuine --targetId 0x31100002
Or on firmware 1.4.1 and above
python -m ledgerblue.checkGenuine --targetId 0x31100003


سورس کد مربوطه


وارسی اپلیکیشن ها :

وقتی که اپلیکیشنی رو اجرا می کنیم اگه توسط خود شرکت Ledger امضا نشده باشه با پیغام هشداری مواجه میشه.

 

روت یا ریشه اطمینان :

روت اطمینان شامل یه کد عمومی secp256k1 با شاخصه زیره :

۰۴۹۰f5c9d15a0134bb019d2afd0bf297149738459706e7ac5be4abc350a1f818057224fce12ec9a65de18ec34d6e8c24db927835ea1692b14c32e9836a75dad609

 

اصولا پیشنهاد شده که از شرکت اصلی Ledger خریداری شه. حالا سوال اینجاست که اگه قرار باشه تو ایران از کسی سفارش بگیریم چند درصد احتمال اینکه محصول مربوطه نامعتبر باشه وجود داره ؟ مثلا طرف به صورت دست دو از آمازون خریده باشه.

مشتاق سوال شده در مارس 9, 2019 در ماینینگ.
افزودن نظر
3 پاسخ(ها)

ممنون از اطلاع رسانی دقیق و راهنمایی شما برای خریداران این محصول

استاد پاسخ داده شده در مارس 9, 2019.
افزودن نظر

واقعا درود و سپاس فروان بر شما ک اینجوری با دقت و صرف زمان این اطلاعات رو جمع اوری کردین احسنت ب شما

آشنا پاسخ داده شده در مارس 10, 2019.
افزودن نظر

بله درست میگید موافقم. تشکر از شما بابت نشر مطلب

لجر یکم خطرناک شده داستانش.. باز trezor خیلی بهتره

مشتاق پاسخ داده شده در ژوئن 1, 2019.
افزودن نظر

پاسخ شما

برای ارسال سوال, شما باید شرایط و ضوابط و شرایط استفاده از خدمات را قبول کنید