{"id":202459,"date":"2018-03-22T09:10:20","date_gmt":"2018-03-22T08:10:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=202459"},"modified":"2019-11-29T22:09:44","modified_gmt":"2019-11-29T21:09:44","slug":"15-jhriger-findet-sicherheitslcke-in-ledger-hardware-wallets","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/22\/15-jhriger-findet-sicherheitslcke-in-ledger-hardware-wallets\/","title":{"rendered":"15 jähriger findet Sicherheitslücke in Ledger Hardware Wallets"},"content":{"rendered":"

In den millionenfach verkauften Ledger Hardware Wallets (digitale Geldb\u00f6rsen) gibt es eine Sicherheitsl\u00fccke, \u00fcber die Angreifer per Backdoor den privaten Schl\u00fcssel auslesen k\u00f6nnen. Ledger Hardware Wallets werden benutzt, um Crypto-Geld 'sicher' zu speichern.<\/p>\n

<\/p>\n

Was sind Ledger Hardware Wallets?<\/h2>\n

\"\"Wallet ist der englische Begriff f\u00fcr eine Geldb\u00f6rse. In einer Hardware Wallet kann kann Guthaben elektronisch speichern. Krypto-Geld (z.B. Bitcoins) l\u00e4sst sich zum Beispiel so aufbewahren. Die Besonderheit: Es ist ein St\u00fcck Hardware, welches per USB an beliebige Rechner angeschlossen werden kann. Also keine reine Softwarel\u00f6sung, die durch Malware ausgehebelt werden kann.<\/p>\n

\"Ledger<\/p>\n

Der franz\u00f6sische Anbieter Ledger wirbt auf dieser Webseite<\/a> f\u00fcr seine Produkte, die vom Ledger Nano S f\u00fcr 94,01 Euro bis zum Ledger Nano f\u00fcr 272,51 Euro reicht. Ich habe mal kurz geschaut, die Ledger Hardware Wallets werden auch von Amazon.de angeboten. Und die Produkte finden sich auf eBay. Ich gehe daher davon aus, dass diese Wallets auch in deutschen Stuben herum fliegen.<\/p>\n

Die Sicherheitsl\u00fccke in den Ledger Wallets<\/h2>\n

Eigentlich sollten solche Hardware-L\u00f6sungen narrensicher und unknackbar sein \u2013 eine Geldb\u00f6rse mit einem Loch oder einem Mechanismus, der verhindert, dass diese verschlie\u00dfbar sind, will sich keiner hinlegen. <\/p>\n

Die Ledger-F\u00fchrungskr\u00e4fte r\u00fchmen seit Jahren, dass die Produkte sicher seien. Die spezialisierten Hardware zur Speicherung von Krypto-Geld sei so sicher ausgelegt, dass Reseller oder andere Stationen in der Lieferkette die Ger\u00e4te nicht manipulieren k\u00f6nnen, ohne dass es f\u00fcr den Endbenutzer offensichtlich ist. <\/p>\n

Der Grund: Eine \"kryptographische Beglaubigung\", die mit f\u00e4lschungssicheren digitalen Signaturen daf\u00fcr sorgt, dass nur autorisierter Code auf der Hardware-Brieftasche l\u00e4uft. \"Es gibt absolut keine M\u00f6glichkeit, dass ein Angreifer die Firmware ersetzen und sie ohne Kenntnis des privaten Ledger-Schl\u00fcssels<\/strong> passieren lassen k\u00f6nnte\", sagten Offizielle im Jahr 2015. <\/p>\n

Im obigem Zitat ist der springende Punkt zu finden (ich habe es mal gefettet). Genau so ein GAU ist aber wohl passiert, wie Ars Technica in diesem Artikel<\/a> offen legt. Am 20. M\u00e4rz 2017 bewies ein 15-J\u00e4hriger aus Gro\u00dfbritannien, dass diese Behauptungen von Ledger falsch sind. In seinem privaten Blog ver\u00f6ffentlicht Saleem Rashid den Artikel Breaking the Ledger Security Model<\/a>, in dem er zeigt, wie er die L\u00f6sung \u00fcberlistet. Der von ihm ver\u00f6ffentlichte Proof-of-Concept-Code erm\u00f6glicht ihm ein Ledger Nano S zu kompromittieren. <\/p>\n

Die Backdoor, die Rashid entwickelt hat, umfasst nur 300 Byte Code und bewirkt, dass das Ger\u00e4t vorbestimmte Wallet-Adressen und Wiederherstellungskennw\u00f6rter generiert, die dem Angreifer bekannt sind. Der Angreifer k\u00f6nnte dann diese Passw\u00f6rter in eine neue Ledger Wallet eingeben. Damit ist es m\u00f6glich, die privaten Schl\u00fcssel wiederherzustellen, die das alte, mit der Backdoor versehene Ger\u00e4t f\u00fcr diese Wallet-Adressen speichert. Dieses Video<\/a> auf seiner Webseite zeigt das Ganze.<\/p>\n

Saleem Rashid hat Ledger den Proof-of-Concept-Code zukommen lassen, die die Angriffsmethode verifizieren konnten. Im Blog schreibt Rashid<\/a>, dass er keine Bug-Bounty-Pr\u00e4mie von Ledger bekommen habe. Der Grund: Dann h\u00e4tte er eine Vereinbarung unterschreiben m\u00fcssen, die die Ver\u00f6ffentlichung der Sicherheitsl\u00fccke verhindert hat. Er begr\u00fcndet sein Vorgehen der Ver\u00f6ffentlichung damit, dass Eric Larchev\u00eaque, CEO von Ledger, einige Kommentare auf Reddit abgegeben hat, die mit technischen Ungenauigkeiten behaftet waren. Also habe er sich daf\u00fcr entschieden, die Informationen zu ver\u00f6ffentlichen, anstatt eine Pr\u00e4mie Ledger zu erhalten, da er besorgt war, dass diese Schwachstelle den Kunden nicht richtig erkl\u00e4rt werden k\u00f6nnte. <\/p>\n

Im Blog-Beitrag sind die vielen Details f\u00fcr interessierte Blog-Leser zu finden. Abschlie\u00dfende Frage: Hat jemand von euch einen Ledger Hardware Wallet im Einsatz?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
Adobe entwischt privater PGP-Key<\/a>
Privater Schl\u00fcssel mit Microsoft Dynamics 365 verteilt<\/a>
Krypto-Schl\u00fcssel-Desaster bei Ger\u00e4ten<\/a>
beA-Debakel f\u00fchrt zu m\u00f6glichem Trojaner-Befall<\/a>
beA verteilt Zertifikat mit privatem Key beim besonderen elektronischen Anwaltspostfach<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In den millionenfach verkauften Ledger Hardware Wallets (digitale Geldb\u00f6rsen) gibt es eine Sicherheitsl\u00fccke, \u00fcber die Angreifer per Backdoor den privaten Schl\u00fcssel auslesen k\u00f6nnen. Ledger Hardware Wallets werden benutzt, um Crypto-Geld 'sicher' zu speichern.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-202459","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202459","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202459"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202459\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202459"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202459"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202459"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}