Ledger und Trezor nehmen Stellung zum Hack ihrer Hardware-Wallets

Drei Forscher von wallet.fail haben haben auf dem 35. Chaos Communication Congress (35C3) gezeigt, wie sie Schwachstellen in den Hardware-Wallets Trezor und Ledger ausgenutzt haben, um diese zu hacken. Sowohl Ledger als auch Trezor haben nun geantwortet und erklärt, dass die Kryptowährungs-Guthaben ihrer Benutzer sicher sind und die Geräte weiter genutzt werden können.

Hardware-Wallets sind die sicherste Methode, um Kryptowährungen aufzubewahren. Wie Forscher auf dem 35C3 nun gezeigt haben, sind aber auch sie verwundbar. Wie jedes andere Stück Technik haben auch sie ihre eigenen Schwachstellen. So haben die 3 Hacker von wallet.fail gezeigt, wie man das Trezor One, das Ledger Nano S und das Ledger Blue Wallets hackt. Dies wurde während eines Hacking-Events namens 35C3 Refreshing Memories gezeigt. Das Team, das sich Wallet.fail nannte, bestand aus drei Personen: Dmity Nedospasov (Sicherheitsforscher und Hardware-Designer), Josh Datko (Sicherheitsforscher) und Thomas Roth (Software-Entwickler).

Grundsätzlich konnten die Hacker die privaten Schlüssel der Geräte nach Verwendung einer eigenen Firmware extrahieren. Sie wiesen aber darauf hin, dass der Hack nur verwendet werden kann, wenn der Benutzer keine Passphrase gesetzt hat, so dass Personen, die wirklich vorsichtig sind, von dem Problem nicht betroffen sind.

Die Antwort von Ledger

Das derzeit wohl beliebteste Hardware-Wallet, das Ledger Nano S wurde zuerst von der Gruppe gehackt. Wie die Forscher zeigten, konnten sie sie Retro-Spiel Snake auf dem Gerät installieren und sogar Transaktionen bestätigen. In einem Blog-Post hat Ledger jedoch alles getan, um die Nutzer des Nano S zu beruhigen. Sie erklärten, dass die Hacks nicht die Sicherheit des Geräts vollständig in Frage stellen:

Sie stellten 3 Angriffspfade vor, die den Eindruck erwecken könnten, dass kritische Schwachstellen auf Ledger-Geräten aufgedeckt wurden. Dies ist nicht der Fall.

Obwohl die Forscher sagten, dass sie alle “Kryptowährung lieben” und selbst Kryptowährungsbesitzer sind, scheint Ledger auch etwas enttäuscht zu sein:

In der Sicherheitswelt ist die verantwortungsvolle Offenlegung der Daten die übliche Vorgehensweise…. Wir bedauern, dass die Forscher nicht den Standardsicherheitsprinzipien des Ledger’s Bounty-Programms gefolgt sind.

Ledger glaubt auch, dass die drei Forscher keine “praktischen Schwachstellen” festgestellt haben. Erstens führten die Forscher einen Angriff durch, bei dem sie die physischen Wallets modifizierten und Malware auf dem PC des Besitzers in Kombination mit einem potenziellen Angreifer in einem nahegelegenen Raum verwendeten, der die gehackte PIN fernbedienen und die Kryptowährungsanwendung starten musste. Ledger sagt über diese Art von Angriff:

Es würde sich als ziemlich unpraktisch erweisen, und ein motivierter Hacker würde definitiv effizientere Tricks anwenden. […] Sie versuchten, einen Angriff auf die Supply Chain durchzuführen, indem sie den MCU-Check umgingen, aber es gelang ihnen nicht. Die MCU verwaltet den Bildschirm, hat aber keinen Zugriff auf die PIN oder den Seed, der auf dem Secure Element gespeichert ist.

Ledger erklärte außerdem, dass es die aufgezeigten Fehler in der nächsten Firmware-Version des Geräts beheben werde.

Trezor: Firmwareupdate geplant

Der CTO von SatoshiLabs, Pavol Rusnak, beschwerte sich ebenfalls darüber, dass das Trio das Unternehmen nicht vor der Konferenz informiert habe. SatoshiLabs ist für die Trezor-Wallet verantwortlich und hat für Ende Januar ein Firmware-Update versprochen, das alle Schwachstellen des Systems beheben wird. Trezor erkennt die Schwachstelle also an und erklärte, dass es sich um eine physische Schwachstelle handelt, die identifiziert wurde:

Ein Angreifer benötigt physischen Zugriff auf Ihr Gerät, insbesondere auf das Board, das das Gehäuse zerstört. Wenn du die physische Kontrolle über deinen Trezor hast, kannst du ihn weiterhin benutzen, und diese Schwachstelle ist keine Bedrohung für dich.

Trezor hat auch gesagt, dass besorgte Benutzer die “Passphrase-Funktion” in ihren Trezor-Hardware-Wallets aktivieren können, dass aber jeder Verlust der Passphrase eines Benutzers zu “Geldverlust” führt.

Regarding the presentation at #35c3, we were not informed ahead of time about the details of the disclosure. We are working with the info as it arrives.

We will address the vulnerability in due time—as soon as possible.

Details in thread:

— Trezor (@Trezor) December 28, 2018