Ledger: Kürzlich entdeckten Wallet-Sicherheitslücken nicht kritisch

Ledger behauptete, dass kürzlich entdeckte Schwachstellen in seinen Hardware-Wallets in einem offiziellen Blog-Post von Medium am 28. Dezember nicht kritisch sind.

Gestern haben Forscher auf der 35C3 Refreshing Memories-Konferenz in Berlin behauptet, sie könnten die Wallets von Trezor One, Ledger Nano S und Ledger Blue hacken.

In dem Post erklärt das Unternehmen, dass es scheinbar "drei Angriffspfade gab, die den Eindruck erwecken könnten, dass kritische Schwachstellen aufgedeckt wurden", aber "dies ist nicht der Fall".

Der Grund ist, dass die Sicherheitslücke nicht kritisch ist, weil das Unternehmen keinen Samen oder PIN auf einem gestohlenen Gerät extrahieren konnte und die auf dem sicheren Element gespeicherten sensiblen Assets weiterhin sicher sind.

Laut der Firma hat die Schwachstelle Ledger Nano S „gezeigt, dass die physische Änderung des Ledger Nano S und die Installation von Malware auf dem PC des Opfers einem nahegelegenen Angreifer die Möglichkeit geben könnten, eine Transaktion zu unterschreiben, nachdem die PIN eingegeben und die Bitcoin (BTC)-App gestartet wurde. ”

Laut Ledger sei dies "ziemlich unpraktisch", und ein motivierter Hacker würde auf jeden Fall effizientere Tricks verwenden. Die Forscher behaupteten zwar, dass die Sicherheitsanfälligkeit es ihnen erlaube, "bösartige Transaktionen an den ST31 [den sicheren Chip] zu senden und ihn selbst zu bestätigen", Ledger bestreitet dies jedoch und sagt:

„Ihre Firmware läuft im Bootloader-Modus auf der MCU. Das bedeutet, dass Sie beim Booten die linke Taste drücken müssen und das Secure Element bootet nicht einmal.”

Ledger behauptet außerdem, dass die Demonstration des Ledger Blue - Angriffs "ein bisschen unrealistisch und unpraktisch" ist, und behauptet, dass "die Position des Empfängers und des angegriffenen Geräts genau gleich sein muss. Die Position des USB -Kabels ist ebenfalls von größter Bedeutung (als es fungiert als Antenne). "

In dem Beitrag heißt es: "Wenn die Bedingungen nicht genau die gleichen sind, funktioniert der Machine Learning Classifier nicht richtig." Aus diesem Grund schlussfolgerte Ledger:

"Dieser Angriff ist auf jeden Fall interessant, erlaubt jedoch nicht, die PIN einer Person unter realen Bedingungen zu erraten (es ist erforderlich, dass Sie Ihr Gerät niemals bewegen)."

Aufgrund dieser Sicherheitsanfälligkeit gab Ledger außerdem an, dass das nächste Ledger Blue-Firmware-Update eine zufällige Tastatur für den Pin enthalten wird.

Das Unternehmen erklärte auch, dass es „bedauert, dass die Forscher die im Bounty-Programm von Ledger festgelegten Standards nicht beachtet haben.“ Laut Ledger „in der Welt der Sicherheit ist die übliche Vorgehensweise eine verantwortungsbewusste Offenlegung. Dies ist das Modell, in dem eine Sicherheitsanfälligkeit erst nach einer angemessenen Zeit offenbart wird, in der die Sicherheitsanfälligkeit korrigiert werden kann und die Risiken für die Benutzer verringert werden können. “

Im November kündigte Ledger seine Expansion nach New York an, um das institutionelle Depot mit Ledger Vault auszubauen. Darüber hinaus hat das Unternehmen kürzlich einen Vertrag mit dem Krypto-Start-up Crypto.com abeschlossen, damit ihre Nutzer ihre Produkte mit Kryptowährungen bezahlen können.