بیجوں کے جملے اور پن چوری کرنے والی پوشیدہ چپ کے ساتھ جعلی لیجر والیٹ بے نقاب

برازیل کے ایک سائبرسیکیوریٹی محقق نے چینی بازار کی فہرست سے "لیجر" ہارڈویئر والیٹ خریدنے کے بعد بڑے پیمانے پر گھوٹالے کی کارروائی کا پردہ فاش کیا جو جائز لگتا تھا اور اس کی قیمت سرکاری اسٹور کے برابر تھی۔ پیکیجنگ دور سے اصلی دکھائی دیتی تھی، لیکن ڈیوائس جعلی تھی۔

جب محقق نے اسے ledger.com سے انسٹال کردہ لیجر لائیو سے منسلک کیا، تو یہ حقیقی جانچ میں ناکام رہا، اس بات کی تصدیق کرتا ہے کہ یہ حقیقی لیجر ڈیوائس نہیں ہے۔ اس ناکامی کی وجہ سے محقق نے ڈیوائس کو کھولا اور اس کے اندرونی ہارڈ ویئر اور فرم ویئر کا جائزہ لیا۔

کلون شدہ ویب سائٹس اور نقصان دہ ایپس

خول کے اندر، محقق کو ایک بالکل مختلف چپ ملی، نہ کہ ہارڈ ویئر والیٹ میں استعمال ہونے والی قسم۔ شناخت چھپانے کے لیے چپ کے نشانات کو جسمانی طور پر ختم کر دیا گیا تھا۔ محقق کی Reddit پوسٹ کے مطابق، ڈیوائس میں ایک وائی فائی اور بلوٹوتھ اینٹینا بھی ہے، جو کہ اصلی لیجر نینو S+ میں موجود نہیں ہے۔ چپ لے آؤٹ کا تجزیہ کرکے، انہوں نے اسے اندرونی فلیش میموری کے ساتھ ESP32-S3 کے طور پر شناخت کیا۔

جب ڈیوائس بوٹ ہوئی، اس نے ابتدا میں خود کو سیریل نمبرز اور لیجر فیکٹری شناخت کے ساتھ لیجر نینو S+ 7704 کے طور پر نقاب پوش کیا، لیکن بعد میں اس کے حقیقی مینوفیکچرر کو Espressif Systems کے طور پر ظاہر کیا۔

فرم ویئر کو ڈمپ کرنے اور اسے ریورس انجینئرنگ کرنے کے بعد، محقق نے پایا کہ ڈیوائس پر بنایا گیا PIN سادہ متن میں محفوظ تھا۔ ڈیوائس پر تیار کردہ بٹوے سے بیج کے جملے بھی سادہ متن میں محفوظ کیے گئے تھے۔ فرم ویئر میں متعدد ہارڈ کوڈ شدہ ڈومین حوالہ جات بھی شامل ہیں جو بیرونی کمانڈ اینڈ کنٹرول سرورز کی طرف اشارہ کرتے ہیں۔ ان نتائج سے پتہ چلتا ہے کہ ڈیوائس کو حساس بٹوے کا ڈیٹا اکٹھا کرنے کے لیے ڈیزائن کیا گیا تھا، جس میں بیرونی سرورز کے لنکس تھے۔

محقق نے یہ بھی جانچا کہ حملہ عملی طور پر کیسے کام کر سکتا ہے۔ اگرچہ ہارڈ ویئر میں وائی فائی اور بلوٹوتھ اینٹینا موجود تھا، لیکن فرم ویئر نے وائرلیس ڈیٹا ٹرانسمیشن یا وائی فائی ایکسیس پوائنٹ کنکشن کا ثبوت نہیں دکھایا۔ اس میں کی اسٹروک انجیکشن یا ٹرمینل کمانڈز کے لیے خراب USB اسکرپٹ بھی نہیں تھے۔ اس کے بجائے، حملہ خود ڈیوائس کے باہر صارف کے تعامل پر انحصار کرتا دکھائی دیا۔

ان کے مطابق، اسکام اس وقت شروع ہوتا ہے جب کوئی صارف پیکیجنگ میں شامل QR کوڈ کو اسکین کرتا ہے۔ یہ QR کوڈ کلون شدہ ویب سائٹ کی طرف لے جاتا ہے جو ledger.com کی طرح نظر آتی ہے۔ وہاں سے، صارفین کو Android، iOS، Windows، یا Mac کے لیے جعلی "Ledger Live" ایپلی کیشن ڈاؤن لوڈ کرنے کا اشارہ کیا جاتا ہے۔ جعلی ایپ ایک جعلی اصلی چیک اسکرین دکھاتی ہے جو ہمیشہ گزرتی ہے۔ اس کے بعد صارفین بٹوے بناتے ہیں اور بیج کے فقرے لکھتے ہیں، یہ مانتے ہوئے کہ سیٹ اپ محفوظ ہے۔ دریں اثنا، جعلی ایپ حملہ آور کے زیر کنٹرول سرورز کو بیج کے جملے نکال دیتی ہے۔

آپ یہ بھی پسند کر سکتے ہیں:

تجزیہ کار نے $280M ڈرفٹ ہیک فنڈز پر سرکل کے غیر منجمد موقف کا دفاع کیا

یو ایس ٹریژری نے بینک گریڈ تھریٹ انٹیل کو کرپٹو سیکٹر تک بڑھا دیا۔

ایتھر نے برج ہیک پر مشتمل ہونے کے بعد بڑے بحران سے بچایا: نقصانات $90K سے کم رہیں

محقق نے جعلی لیجر لائیو ایپ کے Android APK ورژن کو ڈی کمپائل کیا اور اضافی بدنیتی پر مبنی رویہ پایا۔ ایپ کو React Native اور Hermes انجن کے ساتھ بنایا گیا تھا۔ اس پر ایک مناسب سائننگ کلید کے بجائے اینڈرائیڈ ڈیبگ سرٹیفکیٹ کے ساتھ دستخط کیے گئے تھے۔ اس نے ایپ اور ڈیوائس کے درمیان APDU کمانڈز کو روکا، بیرونی سرورز کو اسٹیلتھ درخواستیں کیں، اور بند ہونے کے بعد کئی منٹ تک پس منظر میں چلتی رہیں۔

اس نے عوامی کلیدوں کا استعمال کرتے ہوئے مقام کی اجازتوں اور پرس کے بیلنس کی نگرانی کی بھی درخواست کی، جس سے حملہ آوروں کو ڈپازٹ اور رقم کو ٹریک کرنے کی اجازت ملی۔

لیجر سیکیورٹی میں کوئی خامی نہیں۔

محقق نے بتایا کہ یہ صفر دن کا خطرہ نہیں ہے اور نہ ہی لیجر کے حفاظتی ڈیزائن میں کوئی خامی ہے۔ لیجر کے حقیقی چیک اور سیکیور ایلیمنٹ کے درست طریقے سے کام کرنے کی تصدیق کی گئی۔ اس کے بجائے، اسے جعلی ہارڈ ویئر، بدنیتی پر مبنی ایپس، اور بیرونی انفراسٹرکچر کو یکجا کرنے والے ایک فشنگ آپریشن کے طور پر بیان کیا گیا ہے۔ مکمل آپریشن میں ESP32-S3 چپس کے ساتھ ہارڈویئر ڈیوائسز، اینڈرائیڈ اور دیگر پلیٹ فارمز کے لیے ٹروجنائزڈ ایپس، اور ڈیٹا کے اخراج کے لیے استعمال ہونے والے کمانڈ اینڈ کنٹرول سرورز شامل ہیں۔

محقق نے یہ بھی کہا کہ جعلی لیجر ڈیوائسز کی پہلے بھی اطلاع دی گئی ہے، لیکن یہ معاملہ مختلف ہے کیونکہ یہ پورے نظام کا نقشہ بناتا ہے، بشمول ہارڈ ویئر، ایپس، انفراسٹرکچر، اور مارکیٹ پلیس لسٹنگ سے منسلک شیل کمپنی کے ذریعے تقسیم۔ محقق نے لیجر کی کسٹمر کامیابی کی ٹیم کو ایک رپورٹ پیش کی ہے اور میلویئر کے Windows، macOS اور iOS ورژن کے مزید تجزیے کے ساتھ مکمل تکنیکی خرابی کی تیاری کر رہا ہے۔

کچھ سال پہلے، ایک اور Reddit صارف نے ایک مستند نظر آنے والے پیکج میں لیجر نینو ایکس حاصل کرنے کی اطلاع دی تھی، لیکن اندر موجود ایک خط نے املا اور گرامر کی غلطیوں کی وجہ سے تشویش کا اظہار کیا۔ خط میں دعویٰ کیا گیا کہ یہ ڈیٹا کی خلاف ورزی کے بعد ایک متبادل تھا۔

ایک سیکیورٹی ماہر نے بعد میں پایا کہ ڈیوائس میں USB کنیکٹر سے وائرڈ ایک فلیش ڈرائیو تھی، جس کا مقصد میلویئر کی ترسیل اور ممکنہ چوری کے لیے تھا۔