यह लेख लेजर के एक प्रवक्ता की टिप्पणियों के साथ अपडेट किया गया है।
एक ब्राज़ीलियाई सुरक्षा शोधकर्ता ने एक परिष्कृत नकली लेजर डिवाइस ऑपरेशन का पता लगाया है, जिसमें ऐसे संशोधित हार्डवेयर पाए गए हैं जो अनजान उपयोगकर्ताओं से क्रिप्टोकरेंसी निकालने के लिए डिज़ाइन किए गए थे।
सुरक्षा शोधकर्ता, जिसे ऑनलाइन “Past_Computer2901” के नाम से जाना जाता है, ने एक चीनी बाज़ार से एक मानक लेजर नैनो एस प्लस जैसा दिखने वाला उपकरण खरीदने के बाद अपनी खोजों को रेडिट पर साझा किया।
पैकेजिंग और कीमत आधिकारिक खुदरा मानकों से मेल खाने के बावजूद, वास्तविक लेजर लाइव डेस्कटॉप एप्लिकेशन से कनेक्ट होने पर यह इकाई "असली जांच" (Genuine Check) में विफल रही।
इस चेतावनी के कारण डिवाइस का भौतिक रूप से खोलकर निरीक्षण किया गया, जिससे पता चला कि आंतरिक सर्किटरी को वाईफाई और ब्लूटूथ एंटेना शामिल करने के लिए बदल दिया गया था — ये सुविधाएँ वैध मॉडल में पूरी तरह से अनुपस्थित हैं।
घोटालेबाज इन छेड़छाड़ किए गए उपकरणों का उपयोग एक भ्रामक सेटअप प्रक्रिया के माध्यम से पहली बार खरीदने वाले खरीदारों का शोषण करने के लिए कर रहे हैं।
पैकेजिंग में शामिल एक क्यूआर कोड उपयोगकर्ताओं को लेजर लाइव ऐप के एक कपटपूर्ण संस्करण पर निर्देशित करता है, जिसे सुरक्षा चेतावनियों को बायपास करने और हार्डवेयर की प्रामाणिकता का एक नकली सत्यापन जारी करने के लिए प्रोग्राम किया गया था।
एक बार जब कोई उपयोगकर्ता सीड वाक्यांश (seed phrase) उत्पन्न करने या दर्ज करने के लिए संकेतों का पालन करता है, तो समझौता किया गया फर्मवेयर डेटा को कैप्चर कर लेता है, जिससे हमलावरों को अपनी इच्छानुसार वॉलेट खाली करने की अनुमति मिल जाती है।
“यह घबराहट पैदा करने के लिए नहीं है, बल्कि एक गंभीर चेतावनी के रूप में काम करने के लिए है — मैं ईमानदारी से इस ऑपरेशन के विशाल पैमाने से अभी भी थोड़ा हैरान हूँ,” शोधकर्ता ने कहा।
इकाई के आंतरिक विश्लेषण से पता चला कि घोटालेबाजों ने धोखाधड़ी को छिपाने के लिए बहुत प्रयास किए, जिसमें मूल चिप के निशानों को खुरचना भी शामिल था।
नकली लेजर डिवाइस। स्रोत: रेडिट।
जबकि डिवाइस ने बूट चरण के दौरान शुरुआत में खुद को नैनो एस प्लस 7704 के रूप में पहचाना, अंतिम अनुक्रम ने निर्माता को एस्प्रेसिफ सिस्टम्स (Espressif Systems) के रूप में प्रकट किया, जो शंघाई स्थित एक सेमीकंडक्टर फर्म है।
ये संशोधन लेजर उत्पादों की सुरक्षा अवधारणा को मौलिक रूप से तोड़ते हैं, जो निजी कुंजियों को पूरी तरह से ऑफ़लाइन वातावरण में रखने के लिए बनाए गए हैं।
“किसी बाज़ार से खरीदारी करते समय, लेजर उपयोगकर्ताओं को विक्रेता की पहचान सत्यापित करने के लिए दृढ़ता से प्रोत्साहित करता है। उपयोगकर्ताओं को यह सुनिश्चित करना चाहिए कि वे केवल डेस्कटॉप और मोबाइल पर आधिकारिक लेजर वॉलेट ऐप डाउनलोड करें। इस स्थिति में नकली हार्डवेयर शामिल था, जिसे एक नकली सहयोगी ऐप प्रवाह के साथ जोड़ा गया था, जिसे ऑनबोर्डिंग प्रक्रिया का अनुकरण करने के लिए डिज़ाइन किया गया था, और अनौपचारिक चैनलों के माध्यम से वितरित किया गया था,” लेजर के एक प्रवक्ता ने crypto.news को बताया।
उन्होंने आगे कहा, “लेजर कभी भी उपयोगकर्ताओं से उनके 24 शब्द नहीं मांगेगा। यदि कोई व्यक्ति जो लेजर होने का दावा करता है, या कोई भी ऐप जो लेजर ऐप होने का दिखावा करता है, आपके 24 शब्द पूछता है, तो आपको तुरंत मान लेना चाहिए कि यह एक घोटाला है।”
यह खोज इस महीने की शुरुआत में हुई एक अलग घटना के बाद हुई है, जहां एक धोखाधड़ी वाले ऐप ने बेट-एंड-स्विच रणनीति के माध्यम से ऐप्पल ऐप स्टोर सुरक्षा को बायपास कर दिया था। दुर्भावनापूर्ण सॉफ़्टवेयर ने 50 से अधिक लोगों को उनके रिकवरी वाक्यांशों का खुलासा करने में सफलतापूर्वक धोखा दिया, जिसके परिणामस्वरूप मंच द्वारा लिस्टिंग हटाने से पहले $9.5 मिलियन की चोरी हुई। ऐप्पल के अनुसार, इस ऐप को तब से दुर्भावनापूर्ण बेट-एंड-स्विच कार्यक्षमता के लिए हटा दिया गया है।
“बाहर सुरक्षित रहें। केवल ledger.com से लेजर लाइव डाउनलोड करें। केवल ledger.com से हार्डवेयर खरीदें। यदि आपका डिवाइस असली जांच में विफल रहता है — तो उसका उपयोग तुरंत बंद कर दें,” शोधकर्ता ने चेतावनी दी।
