Ledger weist auf 5 Sicherheitslücken bei Trezor hin

[Ferki]

Einer der führenden Hardware-Wallet-Herstellern, Ledger, weist auf 5 Sicherheitslücken bei Trezor hin. Ledgers Bericht dazu wurde am 11. März 2019 veröffentlicht.

Die Schwachstellen wurden laut des Berichts von Attack Lab gefunden. Diese Abteilung von Ledger ist dazu gedacht, Schwachstellen bei Ledger selbst als auch bei Konkurrenzprodukten zu entdecken und diese zu verbessern. Ledger gibt ab, wiederholt Schwachstellen in den Trezor One und Trezor T Modellen gefunden zu haben und hat diese jetzt nach dem Ende der zugesicherten Offenlegungsfrist veröffentlicht.

Beschreibung der Schwachstellen:

    Echtheit der der Wallets. Laut Ledger könnte auf einem Trezor eine Malware installiert werden und anschließend mit einem gefälschten Siegel an seiner Aufbwahrungsschachtel unter die Leute gebracht werden, da dieser sehr leicht zu entfernen ist. Laut Ledger kann diese Schwachstelle nur durch Überarbeitung des Designs der Trezor Wallets und insbesondere durch das Ersetzen der Kernkomponente eines Secure-Element-Chips behoben werden.
    Hacker von Ledger haben den PIN einer Trezor-Wallet mitfhilfe einer Side-Channel-Attack erraten. Diese Schwachstelle wurde bereits im November 2018 an Trezor gemeldet. Dieses Problem wurde von Trezor mit dem Firmware-Update 1.8.0 behoben.
    Dritte und vierte Schwachstelle kann durch das Ersetzen durch den Secure-Element-Chip ebenfalls behoben werden. Mithilfe der Schwachstelle können vertrauliche Daten gestohlen werden. Diese könnten mit physischen Zugriff auf einen Trezor One oder Model T aus dem Flash-Speicher extrahiert und die Kontrolle über das Gerät erlangt werden.
    Die letzte Schwachstelle bezieht sich auch auf das Sicherheitsmodell von Trezor. Dieses enthält laut Ledger eine Kryto-Bilbiothek auf dem Trezor One, die keine geeigneten Gegenmaßnahmen gegen Hackerangriffe bietet. Attack Lab behauptet, durch den physischen Zugriff über einen Side-Channel-Angriff der geheime Schlüssel extrahiert werden kann, obwohl Trezor behauptet, dass dies unmöglich sei.

Schon im November 2018 warnte Trezor davor, dass Kopieren von Trezor One im Netz zu finden sind. Diese Kopien scheinen aus China zu kommen. Trezor wies darauf hin, Wallets nur direkt über die eigene Webseite zu kaufen.

Ledger meint auch, dass Benutzer nicht sicher sein können, ob es sich bei ihrer Hardware-Wallet um eine echte oder eine Kopie handelt. Es sei auch möglich, dass ein Angreifer Geräte kauft, diese mit Malware versieht und sie zurückschickt an den Hersteller. Falls eine solche Wallet erneut verkauft wird, könnten die Guthaben eines Benutzers fort sein.

source: https://blockchain-hero.com/ledger-weist-auf-5-sicherheitsluecken-bei-trezor-hin/