Hardware Wallet mit Tücken – Ledger präsentiert Sicherheitslücken der Konkurrenz

Quelle: Shutterstock

Hardware Wallet mit Tücken – Ledger präsentiert Sicherheitslücken der Konkurrenz

Die Krypto-Sicherheitsexperten aus dem Hause Ledger haben eine Reihe von Sicherheitslücken bei Hardware Wallets des konkurrierenden Anbieters Trezor aufgelistet. Trezor hat bereits reagiert und durch eine Reihe von Updates für Verbesserungen gesorgt.

Die Kontrolle über die eigenen Private Keys im Bitcoin-Kosmos ist eine heikle Angelegenheit. So lassen sich Besitzverhältnisse von Krypto-Assets durch die digitale Signatur mittels Private Key zwar einwandfrei bestimmen. Mit der Kontrolle der privaten Schlüssel geht aber auch immer ein gewisses Verlustrisiko einher. Zahlen, nach denen bereits über vier Millionen BTC in die ewigen Jagdgründe übergegangen sind, bestätigen dies. Public Key Cryptography ist eine ebenso sichere wie gnadenlose Verschlüsselungsmethode.

Wer es trotzdem wagt, die Verantwortung über das eigene Krypto-Vermögen zu übernehmen, dem sei angeraten, sich nicht leichtfertig mit der Wahl einer geeigneten Wallet auseinanderzusetzen. Gemeinhin gelten Hardware Wallets wie jene von Trezor oder Ledger als verlässliche Lösung. Die Handhabe ist simpel und das Level an Sicherheit hinreichend.

Allerdings sind auch Hardware Wallets nicht gefeit vor Sicherheitslücken. Eine ganze Reihe davon hat Ledger am gestrigen Montag, dem 11. März, veröffentlicht: Sicherheitslücken, die den konkurrierenden Produkten von Trezor anhängen.

Nun könnte man sagen, man wolle der Konkurrenz schaden, indem man durch das Streuen von Informationen das Ausnutzen eben jener Angriffsvektoren erst zur Ausnutzung durch Hacker animiert. Ledger behauptet das Gegenteil: Die Sicherheitsexperten des französischen Wallet-Herstellers haben Trezor vorab eine Art Gnadenfrist eingeräumt, während der die Kollegen die Mängel am Konkurrenzprodukt beheben können. So sorge man für mehr Sicherheit für alle Beteiligten.

Sicherheitslücken bei Trezor

Problem 1: Das Siegel

Wie Ledger demonstriert, lässt sich das Sicherheitssiegel mithilfe eines Skalpells problemlos entfernen. Das Siegel soll eigentlich verhindern, dass Drittparteien das Gerät öffnen, um nachträgliche Änderungen daran vorzunehmen. Tut es aber nicht, wie Ledger zeigt.

Hacker könnten sich ein Gerät zukommen lassen, Änderungen an der Software vornehmen und den Trezor innerhalb der Garantiefrist an den Händler zurückschicken. Sodann würden mit Schadsoftware ausgestattete Wallets an Dritte weitergegeben werden, deren Krypto-Funds, man ahnt es, bedroht sind.

Problem 2: Der PIN-Code

Was ein wenig nach Science Fiction klingt, scheint ein echter Angriffsvektor beim Trezor zu sein. Offenbar ist es möglich, mittels eines Side Channels die PIN des Geräts zu erraten. Man müsse der Wallet lediglich eine zufällige Abfolge von Ziffern präsentieren und dann den Stromverbrauch beim Abgleich mit der tatsächlichen PIN messen.

Das Ledger-Team hat auf diese Weise mit nur fünf Versuchen die korrekte PIN eines Trezors erraten können.

Diese Sicherheitslücke sei allerdings durch Patch 1.8.0 bereits behoben worden.

Problem 3: Datensicherheit

Die nächste Sicherheitslücke betrifft sowohl den Trezor One als auch den Trezor T: Sobald Dritte physischen Kontakt mit einem dieser Wallets herstellen können, können sie den Ledger-Mitarbeitern zufolge alle relevanten Daten aus dem Flash-Speicher des Geräts extrahieren. So könnte man sich auch Zugang zu den darauf abgelegten Funds verschaffen.

Über die technischen Details dieses Angriffsvektors schweigt sich Ledger indes aus – man wolle dem Schindluder keinen Vorschub leisten.

Präsentation auf der MIT Bitcoin Expo

Wer mehr über die Sicherheitsinfrastruktur der Hardware Wallets aus dem Hause Trezor (präsentiert von Experten aus dem Hause Ledger) erfahren möchte, dem sei diese 30-minütige Präsentation auf der Bitcoin-Ausstellung am MIT ans Herz gelegt. Achtung: auf englischer Sprache.

Funds are ScAFE: Security Assessment of Open Source Hardware Wallets

Dieses Video ansehen auf YouTube.

Trotz der hier gelisteten Probleme gelten Hardware Wallets nach wie vor als die sicherste Verwahrmethode für das digitale Gold.

Du bist ein Blockchain- oder Krypto-Investor? Der digitale Kryptokompass ist der erste Börsenbrief für digitale Währungen und liefert dir monatlich exklusive Einschätzungen und umfassende Analysen zur aktuellen Lage an den Blockchain- & Krypto-Märkten. Jetzt kostenlos testen

Mehr zum Thema:

Ähnliche Artikel

Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
Blockchain

Der chinesische E-Commerce-Riese Alibaba hat ein neues Blockchain-System zum Schutz von geistigen Eigentumsrechten angekündigt.

BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
Altcoins

Berichten der Rundfunkanstalt BBC zufolge plant Facebook den Start seiner eigenen Kryptowährung bereits für das kommende Jahr.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    5 dezentrale Exchanges, die Hodler kennen sollten
    5 dezentrale Exchanges, die Hodler kennen sollten
    Kolumne

    Dezentrale Exchanges gelten als die Zukunft des Krypto-Handels. Und das nicht ohne Grund: Schließlich denken DEX den Grundgedanken von Kryptowährungen, nämlich dessen Peer-to-Peer-Charakter zu Ende. 

    Tone Vays im Interview: „Banken haben nur die Macht, die die Gesellschaft ihnen zugesteht“
    Tone Vays im Interview: „Banken haben nur die Macht, die die Gesellschaft ihnen zugesteht“
    Interview

    Im Juni wird Tone Vays auf der Unchain Convention einen Vortrag halten.

    Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
    Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
    Blockchain

    Der chinesische E-Commerce-Riese Alibaba hat ein neues Blockchain-System zum Schutz von geistigen Eigentumsrechten angekündigt.

    Russische Zentralbank denkt über goldgedeckte Kryptowährung nach
    Russische Zentralbank denkt über goldgedeckte Kryptowährung nach
    Politik

    Die Chefin der russischen Zentralbank äußerte sich zum Thema Kryptowährungen.

    Angesagt

    US-Behörde gibt Grayscale Ethereum Trust für Privatanleger frei
    Ethereum

    Die Financial Industry Regulatory Authority (FINRA) gibt den Grayscale Ethereum Trust für Kleinanleger frei.

    BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
    Altcoins

    Berichten der Rundfunkanstalt BBC zufolge plant Facebook den Start seiner eigenen Kryptowährung bereits für das kommende Jahr.

    AT&T-Kunden können Rechnungen ab sofort mit Bitcoin bezahlen
    Bitcoin

    Kunden des Telekommunikationsanbieters AT&T können ihre Rechnungen ab sofort mit Bitcoin bezahlen.

    Das Warten hat ein Ende: So kaufen sich institutionelle Investoren in Bitcoin ein
    Kommentar

    Das Big Money der Family Offices, Hedgefonds und Vermögensverwaltungen entscheidet darüber, ob eine Anlageklasse fällt oder steigt.

    ×

    Warte mal kurz...

    Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene:
    Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird.

    Warte mal kurz ... !

    Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: