35C3: Wallet.fail hackt Ledger und Trezor

Quelle: Shutterstock

35C3: Wallet.fail hackt Ledger und Trezor

Auf dem 35. Kongress des Chaos Computer Clubs in Leipzig stellten Hacker die Sicherheitslücken der populären Hardware Wallets Ledger und Trezor vor. Resultat: Die Geräte sind nicht so sicher wie man denkt. 

Seine eigene Bank sein – welch ein Traum für manchen. Doch mit großer Macht kommt große Verantwortung. Schließlich bedeutet BYOB auch, dass man für die eigene Sicherheit zuständig ist. Bisher reichte hier vermeintlich der Griff zu erschwinglichen Hardware Wallets wie dem Ledger Nano S oder dem Trezor One. Hier müssten die gehodleten Kryptos doch sicher liegen?

Nicht ganz. Denn wenn die Hardware Wallet in die Hände eines talentierten Angreifers fällt, kann dieser an die Bestände gelangen. Das demonstrierte wallet.fail jüngst auf dem Hacker-Kongress in Leipzig.

Den vollen Vortrag kann man sich hier anschauen:

Snake auf dem Ledger Nano S

Der Ledger Nano S lag zuerst auf dem Versuchstisch der Hacker von wallet.fail. Eine Analyse der Hardware zeigte, dass der Microcontroller STM32 unsicher war und durch eine Manipulation dessen auch der sichere Hardware-Teil – der ST31 – getäuscht werden könnte.

Auf der Bühne des 35C3 erklärt der deutsche IT-Sicherheitsexperte Thomas Roth, wie sie es geschafft haben, ihre eigene Firmware auf den STM32 des Ledgers zu übertragen. Letztlich konnten sie so den Handy-Klassiker Snake auf dem Ledger Nano S spielen.

Auch der größere Bruder des Nano S, der Ledger Blue, war nicht vor den Angreifern sicher. Mit Hilfe einer Antenne gelang es wallet.fail, die Tastendrücke des Ledger Blue abzufangen. Mit 90-prozentiger Genauigkeit waren sie so in der Lage, den Pin abzuhören.

Lies auch:  Security Token Offering: Neufund und Ledger planen STO-Framework

In der Zwischenzeit hat Ledger Stellung zu dem Vortrag bezogen. Auf der einen Seite wäre es dem Angreifer nicht möglich, an die Seed Phrase oder die Pin zu gelangen, da Snake nur auf dem MCU, nicht aber auf dem Secure Element lief. Auf der anderen Seite sind die Angriffsvektoren unrealistisch und nicht zu reproduzieren, da der Angreifer in der Nähe seines Opfers sein müsste und ein anderer Angriffsvektor – wie das Installieren einer Kamera – einfacher wäre.

Glitch Me If You Can

Das populäre Open-Source-Pendant zu Ledger ist Trezor. Auch wenn der Angriff sich hier etwas kniffliger gestaltete als bei Ledger, behielten die Hacker nach dreimonatiger Arbeit die Überhand.

Die Herausforderung bestand hier, das richtige Zeitintervall beim Upgraden der Firmware abzupassen und dann einen Glitch zu erzeugen. So lässt sich Zugriff auf das RAM erhalten, wo die Seed Phrase in Klartext gespeichert liegt. Mit einer einfachen String-Funktion konnte wallet.fail so die Seed Phrase und auch die Pin auslesen.

Wenn die eigene Hardware Wallet also Bekanntschaft mit einem Trezor Glitcher machen muss, sind die gespeicherten Kryptowährungen nicht sicher.

Das Team betont auf der Bühne dennoch die relative Schwierigkeit, den Trezor zu knacken. Die Schwachstelle liege hier tatsächlich auf der Hardware-Ebene, bei den ARM-Chips und nicht in der Software.

Lies auch:  Ledger Nano X: Ledgers Hardware Wallet erhält Update

Katz-und-Maus-Spiel

Der Vortrag von wallet.fail auf dem 35C3 zeigt eindrucksvoll das Katz-und-Maus-Spiel zwischen Angreifer und Verteidiger in der Sicherheit. Prinzipiell ist kein System sicher, die Frage ist nur, wie aufwändig ein Angriff ist. Es ist trotz erster Schrecksekunde positiv zu werten, dass solche Arbeit mit Hardware Wallets vorgenommen wird. Schließlich ist es besser, die Sicherheitslücke zu veröffentlichen und zu schließen als unbekannt und damit angreifbar zu belassen.

Für den Otto Normalverbraucher heißt dies auch nicht, dass der Ledger oder Trezor aus dem Fenster geworfen werden muss. Im Gegenteil sollte man sich lieber über eine sichere Aufbewahrung sorgen. Schließlich muss der Angreifer erst in den Besitz der Hardware Wallet gelangen, um die Angriffsvektoren durchzuführen.

Wer seine eigene Bank sein möchte, muss sich auch ständig über die neuen Entwicklungen in der Sicherheit auf dem Laufenden halten und entsprechend anpassen.

BTC-ECHO

Ähnliche Artikel

Ethereum: Constantinople Hard Fork wegen Sicherheitslücken abgesagt
Ethereum: Constantinople Hard Fork wegen Sicherheitslücken abgesagt
Altcoins

Das Ethereum-Entwicklerteam hat die lang erwartete Hard Fork Constantinople abgesagt.

Ethereum Classic: Anstieg der Transaktionsgebühren gibt Rätsel auf
Ethereum Classic: Anstieg der Transaktionsgebühren gibt Rätsel auf
Altcoins

Nachdem Ethereum Classic (ETC) erst letzte Woche Opfer einer 51-Prozent-Attacke geworden ist, machen nun neue Seltsamkeiten im Netzwerk die Runde.

Cryptopia: Bitcoin-Börse erleidet Angriff, vorerst in Wartungsmodus
Cryptopia: Bitcoin-Börse erleidet Angriff, vorerst in Wartungsmodus
Sicherheit

Die Krypto-Börse Cryptopia erlitt offenbar am 14. Januar einen Angriff.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Südkorea: Bezirksverwaltung in Seoul benutzt Blockchain für öffentliche Ausschreibungen
    Südkorea: Bezirksverwaltung in Seoul benutzt Blockchain für öffentliche Ausschreibungen
    Blockchain

    Südkorea hat ein weiteres vielversprechendes Blockchain-Projekt vorzuweisen. Die Verwaltung des Seouler Stadtteils Yeongdeungpo hat damit begonnen, öffentliche Aufträge mithilfe der Blockchain-Technologie auszuschreiben.

    IBM und Ford starten Pilotprojekt für Kobalt-Supply-Chain
    IBM und Ford starten Pilotprojekt für Kobalt-Supply-Chain
    Blockchain

    Die Adaption der Blockchain-Technologie schreitet unaufhörlich voran. Auch in der Autoindustrie scheint sie inzwischen angekommen zu sein.

    Dänische Steuerbehörde ermittelt gegen Krypto-Investoren
    Dänische Steuerbehörde ermittelt gegen Krypto-Investoren
    Politik

    Dänemark nimmt Krypto-Investoren unter die Lupe. Nachdem bekannt wurde, dass sich dänische Staatsbürger in Finnland an steuerlich relevanten Geschäften mit Kryptowährungen beteiligten, stehen nun mögliche Verstöße gegen das dänische Steuerrecht im Raum.

    Brave Ads: Werbung sehen, wann man will – und BAT verdienen
    Brave Ads: Werbung sehen, wann man will – und BAT verdienen
    Altcoins

    Brave, die Firma hinter dem gleichnamigen Browser mit Privacy-Fokus, hat ein neues Feature vorgestellt.

    Angesagt

    Wechselkurs von Petro zu Bolívar auf 1:36.000 angehoben – Inflation hat Venezuela fest im Griff
    Politik

    Nicolás Maduro hebt den Wechselkurs von Bolívar zu Petro auf ein Verhältnis von 1:36.000 an.

    Neues aus dem Hause BAKKT: Kauf von Vermögenswerten erfolgreich
    Bitcoin

    BAKKT-CEO Kelly Loeffler rückt auf Medium mit den neuesten Entwicklungen rund um die ersten physischen Bitcoin Futures heraus.

    USA: Vermont sucht Expertise für Blockchain-Pilotprojekt
    Blockchain

    Der US-Bundesstaat Vermont will ein Pilotprojekt starten, das den Nutzen der Blockchain-Technologie für Eigenversicherer ausloten soll.

    Ethereum: Constantinople Hard Fork wegen Sicherheitslücken abgesagt
    Altcoins

    Das Ethereum-Entwicklerteam hat die lang erwartete Hard Fork Constantinople abgesagt.