News

Ledger: aggiornamento flop sicurezza | Utenti INSORGONO

Proteste per un nuovo aggiornamento di Ledger. Nano X ha un nuovo servizio di recovery facoltativo, che però presenta...
2 anni fa
Condividi

Con l’aggiornamento del firmware 2.2.1, Ledger ha introdotto per i suoi dispositivi Nano X una nuova funzionalità che sta facendo insorgere diversi clienti e appassionati, in particolare tra quelli più attenti alla privacy e alla sicurezza delle loro chiavi. Il gruppo che produce hardware wallet ha infatti introdotto un nuovo servizio facoltativo, dal nome di Ledger Recover, che sta causando più di qualche ragionevole polemica.

Ledger Recover è un servizio a sottoscrizione che permetterà, previa presentazione di un documento di riconoscimento, di recuperare la propria chiave. La cosa, che superficialmente potrebbe avere tutta l’apparenza di un servizio facoltativo che dovrebbe interessare solo i sottoscrittori, in realtà apre diverse questioni sulla sicurezza dei dispositivi Ledger interessati (e anche, indirettamente, su quelli non interessati).

Aggiornamento che fa esplodere le proteste

Per quanto manchino ancora informazioni dettagliate sulla vicenda a livello tecnico, si possono già trarre delle conclusioni. Conclusioni che possono aiutarvi a decidere se sia il caso o meno di continuare a utilizzare questi prodotti.

Che cos’è Ledger Recover

Si tratta di un servizio che permetterà, nel caso in cui doveste perdere le vostre chiavi, di recuperarle con un servizio esterno. Non si sa ancora molto del servizio, se non che la chiave verrà divisa in tre parti e inviata a tre società diverse. Saranno sufficienti due parti su tre per ricostruire la chiave e dunque recuperarla.

  • Il servizio è facoltativo

Il servizio è facoltativo e non viene attivato di default. Tuttavia, come vedremo più avanti, ci sono delle questioni tecniche che interessano anche chi non sottoscriverà il servizio.

  • Tre shard

La procedura di recupero prevede la creazione di tre shard, tre pezzetti dei quali due, in qualunque combinazione, sono sufficienti per ricostruire la chiave e recuperare l’acceso. Ogni shard viene consegnato a una società diversa.

  • Richiesta identificazione

Terzo e ultimo motivo di discussione è la richiesta di un documento per accedere a questo servizio.

Perché ci sono polemiche?

Perché la procedura compromette il livello di sicurezza di chi accederà al servizio e, indirettamente, anche di chi non lo sta utilizzando, per quanto tale funzionalità sia da attivare. È comunque disponibile nel codice e non è chiaro se, come e quando possa essere attivata da terzi.

Ci sono poi polemiche sul fatto di associare, anche se pure in questo caso solo per i sottoscrittori, il wallet hardware ad un’identità tramite documento. Anche questa è una procedura che diminuisce in modo concreto la sicurezza di chi utilizzerà il prodotto.

A complicare ulteriormente la questione e ad alimentare i sospetti il fatto che il changelog del firmware non sia stato coordinato, come tempistiche di uscita sfasate che hanno certamente contribuito ad alimentare ulteriormente le polemiche.

Si attende risposta dettagliata dall’azienda

Fatta eccezione per risposte striminzite da parte di Nicolas Bacca, co-fondatore e vice presidente dell’Innovation Lab di Ledger – risposte che sono state date alla community che si raduna su Reddit, mancano ancora spiegazioni da parte dell’azienda.

Aggiorneremo la news non appena ci saranno comunicazioni ufficiali dall’azienda che spieghino le effettive modalità di implementazione di questa feature.

Una feature che ha però violato il principio fondamentale degli hardware wallet. E che continuerà, a prescindere dalle eventuali risposte, a generare polemiche.

Per ora solo su Nano X

Per ora il firmware che contiene tale servizio è disponibile soltanto per Nano X. Il nostro consiglio, al momento, è di evitare di aggiornare il vostro firmware alla 2.2.1.

Gianluca Grossi

Caporedattore ed analista economico. È divulgatore per blockchain, Bitcoin e criptovalute in generale. Solida formazione tecnica, si occupa del comparto dal 2015. Detenzioni: Bitcoin, Ethereum.

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi richiesti sono contrassegnati*

Articoli Recenti

Bitcoin: FESTA ANNULLATA a 100.000$! Perchè? CONSOB vuole DISTRUGGERCI…

Consob lancia l'allarme: non chiedetegli soldi se il vostro investimento in Bitcoin dovesse andare…

da

Altre dimissioni da SEC: via un altro sergente anti crypto. Ecco cosa succederà ora!

Via un altro dem da SEC. Ma sono questioni personali e gravi. Ecco cosa…

da

Ripple: Il VIAGGIO CONTINUA alla FACCIA di Gary GENSLER! Ma ora può CAMBIARE TUTTO [Analisi]

Ripple vola del 30% dopo le dimissioni di Gary Gensler, raggiungendo 1,50 USD. Resistenze…

da

Migliori Crypto da Comprare e Tenere: Portafoglio Novembre 2024

La situazione aggiornata del nostro crypto portafoglio. Questa guida è stata realizzata nel 2021…

da

Ethereum: questo dato è al MASSIMO. E c’è chi chiude lo staking. Che succede? [ANALISI]

Tutti temono il crack Ethereum. Ma in realtà l'interesse - dei grandi investitori -…

da

Polkadot: TRUMP PUMP spinge forte DOT. Occasione per comprare? [ANALISI]

Polkadot registra un rialzo del 53% a novembre, ma resta in uno scenario bearish…

da