Am 7. Mai 2019 kontaktierte uns der Sicherheitsforscher Christian Reitter über unser Belohnungsprogramm, um uns über eine Schwachstelle von Hardware-Wallets mit einem OLED-Bildschirm wie Ledger Nano S und Ledger Nano X zu informieren. Auch wenn die Schwachstelle als nicht kritisch angesehen wurde, haben wir Gegenmaßnahmen in der Ledger Nano S-Firmware 1.6 implementiert.
Die Antworten auf häufig gestellte Fragen finden Sie weiter unten. Weitere Informationen zu dieser Schwachstelle finden Sie in unserem Blogbeitrag.
Sind meine Kryptowährungen in einer Ledger-Hardware-Wallet noch sicher?
Ja. Die vorliegende Schwachstelle ist theoretisch möglich, wurde aber in der Praxis noch nicht nachgewiesen. Sie für Angriffe auf Benutzer zu nutzen, wäre weniger praktisch als die Installation einer versteckten Kamera, die den Benutzer bei der Eingabe des PIN-Codes oder der Initialisierung des Seeds aufzeichnet. Daher wird die Schwachstelle als unkritisch eingestuft.
Wie groß ist die Wahrscheinlichkeit, dass jemand die Sicherheitslücke im Bildschirm ausnutzt?
Die Wahrscheinlichkeit ist sehr gering. Ein potenzieller Angreifer müsste gefälschte USB-Kabel herstellen, die zu der Elektronik passen, die zur Messung des Stromverbrauchs der Hardware-Wallet erforderlich ist. Dann müsste er die Lieferkette von Ledger angreifen, um das Original-USB-Kabel in der Verpackung zu ersetzen, ohne dass dies auffällt. Außerdem müsste er den Computer des Opfers kompromittieren, damit dieser während der Einrichtung mit der Ledger-Hardware-Wallet kommunizieren, die auf dem Bildschirm angezeigten Informationen zuverlässig erkennen und diese an einen externen Server senden kann. Alles in allem ist dies viel unpraktischer als die Installation einer versteckten Kamera, um das Opfer auszuspionieren.
Was wird Ledger tun, um diese Schwachstelle zu beseitigen?
Wir haben zwei Gegenmaßnahmen entwickelt, die die Abhängigkeit zwischen dem, was auf dem Bildschirm angezeigt wird, und dem, was von einer Stromverbrauchsanalyse erfasst werden kann, signifikant reduzieren. Die Gegenmaßnahmen wurden in der Ledger Nano S Firmware 1.6 aufgenommen und werden mit dem nächsten Firmware-Update für das Ledger Nano X verfügbar sein. Weitere technische Details finden Sie in unserem Blogbeitrag.
Wie kann ich verhindern, von dieser Sicherheitslücke betroffen zu sein?
Die heute behandelte Sicherheitslücke besteht darin, dass Benutzer bei der Interaktion mit dem Gerät ausspioniert werden. Bitte beachten Sie, dass diese Art von Schwachstellen nie vollständig behoben werden kann, egal wie viele technische Gegenmaßnahmen ergriffen werden. Sie können sicherstellen, dass Sie immer die neueste Firmware-Version auf Ihrem Ledger-Gerät installiert haben.
Wir raten den paranoidesten Benutzern, ein Wandladegerät zu verwenden, um zu vermeiden, dass ihr Ledger Nano S während der Einrichtung an einen unsicheren Computer angeschlossen wird, oder, im Falle des Ledger Nano X, das Gerät nur im Akkubetrieb zu verwenden. Wir haben noch nie Beweise für Angriffe mit Hardware-Implantaten gesehen, aber Sie können auch Ihr eigenes USB-Kabel verwenden, wenn Sie sich darüber Sorgen machen.
Ist das Ledger Blue betroffen?
Die Sicherheitslücke betrifft OLED-Bildschirme. Da das Ledger Blue über einen LCD-Bildschirm verfügt, ist es von der aufgedeckten Sicherheitslücke nicht betroffen.
Wurde diese Sicherheitslücke bereits ausgenutzt?
Wir haben keine Beweise dafür gesehen, dass diese Schwachstelle ausgenutzt wurde.
Ich habe eine weitere Frage
Bitte wenden Sie sich jederzeit an den Ledger-Kundenservice. Unser Team hilft Ihnen gerne weiter.