Anzeige
35C3: Wallet.fail hackt Ledger und Trezor

Quelle: Shutterstock

35C3: Wallet.fail hackt Ledger und Trezor

Auf dem 35. Kongress des Chaos Computer Clubs in Leipzig stellten Hacker die Sicherheitslücken der populären Hardware Wallets Ledger und Trezor vor. Resultat: Die Geräte sind nicht so sicher wie man denkt. 

Seine eigene Bank sein – welch ein Traum für manchen. Doch mit großer Macht kommt große Verantwortung. Schließlich bedeutet BYOB auch, dass man für die eigene Sicherheit zuständig ist. Bisher reichte hier vermeintlich der Griff zu erschwinglichen Hardware Wallets wie dem Ledger Nano S oder dem Trezor One. Hier müssten die gehodleten Kryptos doch sicher liegen?

Nicht ganz. Denn wenn die Hardware Wallet in die Hände eines talentierten Angreifers fällt, kann dieser an die Bestände gelangen. Das demonstrierte wallet.fail jüngst auf dem Hacker-Kongress in Leipzig.

Den vollen Vortrag kann man sich hier anschauen:

Snake auf dem Ledger Nano S

Der Ledger Nano S lag zuerst auf dem Versuchstisch der Hacker von wallet.fail. Eine Analyse der Hardware zeigte, dass der Microcontroller STM32 unsicher war und durch eine Manipulation dessen auch der sichere Hardware-Teil – der ST31 – getäuscht werden könnte.

Auf der Bühne des 35C3 erklärt der deutsche IT-Sicherheitsexperte Thomas Roth, wie sie es geschafft haben, ihre eigene Firmware auf den STM32 des Ledgers zu übertragen. Letztlich konnten sie so den Handy-Klassiker Snake auf dem Ledger Nano S spielen.

Auch der größere Bruder des Nano S, der Ledger Blue, war nicht vor den Angreifern sicher. Mit Hilfe einer Antenne gelang es wallet.fail, die Tastendrücke des Ledger Blue abzufangen. Mit 90-prozentiger Genauigkeit waren sie so in der Lage, den Pin abzuhören.

In der Zwischenzeit hat Ledger Stellung zu dem Vortrag bezogen. Auf der einen Seite wäre es dem Angreifer nicht möglich, an die Seed Phrase oder die Pin zu gelangen, da Snake nur auf dem MCU, nicht aber auf dem Secure Element lief. Auf der anderen Seite sind die Angriffsvektoren unrealistisch und nicht zu reproduzieren, da der Angreifer in der Nähe seines Opfers sein müsste und ein anderer Angriffsvektor – wie das Installieren einer Kamera – einfacher wäre.

Glitch Me If You Can

Das populäre Open-Source-Pendant zu Ledger ist Trezor. Auch wenn der Angriff sich hier etwas kniffliger gestaltete als bei Ledger, behielten die Hacker nach dreimonatiger Arbeit die Überhand.

Die Herausforderung bestand hier, das richtige Zeitintervall beim Upgraden der Firmware abzupassen und dann einen Glitch zu erzeugen. So lässt sich Zugriff auf das RAM erhalten, wo die Seed Phrase in Klartext gespeichert liegt. Mit einer einfachen String-Funktion konnte wallet.fail so die Seed Phrase und auch die Pin auslesen.

Wenn die eigene Hardware Wallet also Bekanntschaft mit einem Trezor Glitcher machen muss, sind die gespeicherten Kryptowährungen nicht sicher.

Das Team betont auf der Bühne dennoch die relative Schwierigkeit, den Trezor zu knacken. Die Schwachstelle liege hier tatsächlich auf der Hardware-Ebene, bei den ARM-Chips und nicht in der Software.

Katz-und-Maus-Spiel

Der Vortrag von wallet.fail auf dem 35C3 zeigt eindrucksvoll das Katz-und-Maus-Spiel zwischen Angreifer und Verteidiger in der Sicherheit. Prinzipiell ist kein System sicher, die Frage ist nur, wie aufwändig ein Angriff ist. Es ist trotz erster Schrecksekunde positiv zu werten, dass solche Arbeit mit Hardware Wallets vorgenommen wird. Schließlich ist es besser, die Sicherheitslücke zu veröffentlichen und zu schließen als unbekannt und damit angreifbar zu belassen.

Für den Otto Normalverbraucher heißt dies auch nicht, dass der Ledger oder Trezor aus dem Fenster geworfen werden muss. Im Gegenteil sollte man sich lieber über eine sichere Aufbewahrung sorgen. Schließlich muss der Angreifer erst in den Besitz der Hardware Wallet gelangen, um die Angriffsvektoren durchzuführen.

Wer seine eigene Bank sein möchte, muss sich auch ständig über die neuen Entwicklungen in der Sicherheit auf dem Laufenden halten und entsprechend anpassen.

BTC-ECHO

Blockchain- & Fintech-JobsAuf der Suche nach einer neuen Herausforderung? In unserer Jobbörse findet Ihr aktuelle Stellenanzeigen von Blockchain- & Fintech-Unternehmen.

Ähnliche Artikel

Dark Web Scammer erbeuten 200 BTC mit Tippfehlern
Dark Web Scammer erbeuten 200 BTC mit Tippfehlern
Sicherheit

Mit Typo-Squatting haben Betrüger im Dark Web 200 BTC gestohlen.

Nutzerbetrug bei ALQO? Discord-User auf der Spur
Nutzerbetrug bei ALQO? Discord-User auf der Spur
Szene

Eine kleines Projekt namens ALQO soll über eine Online-Wallet widerrechtlich Gelder an sich gerissen haben.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Prognose-Markt unter Druck: Scam auf Augur?
    Prognose-Markt unter Druck: Scam auf Augur?
    Krypto

    Reddit-Nutzer mutmaßen über einen Augur-Scam. Joey Krug, der CEO der dezentralisierten Marktprognoseplattform, wehrt sich auf Twitter, gesteht aber auch Schwächen im System ein.

    Dark Web Scammer erbeuten 200 BTC mit Tippfehlern
    Dark Web Scammer erbeuten 200 BTC mit Tippfehlern
    Sicherheit

    Mit Typo-Squatting haben Betrüger im Dark Web 200 BTC gestohlen.

    Binance-Report: Schleichende Entkopplung von Bitcoin?
    Binance-Report: Schleichende Entkopplung von Bitcoin?
    Märkte

    Die Bitcoin-Börse Binance hat in einer neuen Studie die Korrelationen unter Krypto-Assets unter die Lupe genommen.

    Blockchain-Unternehmen Aeternity beteiligt sich am Axel-Springer-Partner SatoshiPay
    Blockchain-Unternehmen Aeternity beteiligt sich am Axel-Springer-Partner SatoshiPay
    Blockchain

    Eine weitere Kooperation lässt die Krypto-Community aufhorchen. Das in Liechtenstein ansässige Blockchain-Unternehmen Aeternity beteiligt sich jetzt am Zahlungsdienstleister SatoshiPay.

    Angesagt

    Meinungs-ECHO: „Bitcoin lebt“ – Positives Sentiment und Frühlingstöne aus der Szene
    Invest

    Betrachtet man die Nachrichten- und Gefühlslage der Krypto-Szene, dürfte es längst schon keinen Krebsgang mehr geben.

    Nutzerbetrug bei ALQO? Discord-User auf der Spur
    Szene

    Eine kleines Projekt namens ALQO soll über eine Online-Wallet widerrechtlich Gelder an sich gerissen haben.

    Krypto- und traditionelle Märkte – Seitwärtsphase wirft Bitcoin ins Mittelfeld
    Märkte

    Weiterhin ist nicht Bitcoin, sondern Öl das am besten performende Asset.

    Der Hodl-Guide: 5 Arten von Bitcoin Wallets, die du kennen solltest
    Bitcoin

    Bitcoins kryptographische Absicherung ist bei korrekter Handhabe bombensicher. Aber wie bereits bei Spiderman festgestellt wurde, „kommt mit großer Kraft große Verantwortung“.

    Anzeige
    ×