Onderzoekers tonen kwetsbaarheden hardware wallets aan, Trezor belooft firmware-update
Een team van onderzoekers is een groot deel van dit jaar bezig geweest met het zoeken naar kwetsbaarheden in hardware wallets. Met succes. In een recent gepubliceerde presentatie schitteren de Trezor One, Ledger Nano S, en Ledger Blue.
In de presentatie leggen de drie onderzoekers uit op welke manier ze gezocht hebben naar kwetsbaarheden in de populaire hardware wallets. Ze vertellen over de (hardware) architectuur, en demonstreren kwetsbaarheden in hardware, software, en firmware. Voor de techneuten onder ons zeer de moeite waard om de hele presentatie (61 minuten) te bekijken.
Eén van de dingen die het team laat zien, is dat de private key van een Trezor One af te halen. Om dat te doen, hebben ze eigen firmware geschreven, en de bestaande daarmee vervangen. Je kunt je er overigens eenvoudig tegen wapenen: stel een wachtwoord in als aanvulling op de beveiliging.
Pavol Rusnak, CTO bij SatoshiLabs (het bedrijf achter Trezor), was niet op de hoogte van de bevindingen van de onderzoekers:
With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we'll be addressing them via a firmware update at the end of January.
— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) December 28, 2018
Ook de Ledger Nano S was onderwerp van gesprek. De hackers konden willekeurige firmware op het apparaat installeren, en demonstreerden dat door het spel Snake op de wallet te installeren. Eén van de teamleden vult aan:
“We kunnen malafide transacties naar de ST31 [de veilige chip] sturen en die transacties zelf bevestigen [met software]. Of we tonen simpelweg een andere transactie dan degene die op de achtergrond daadwerkelijk is uitgevoerd.”
In een reactie stelt Ledger dat de gevonden kwetsbaarheden niet kritiek zijn voor de veiligheid van de wallet. Mocht je nog wat tijd over hebben, zorg er dan voor dat je de presentatie even bekijkt. De manier waarop de onderzoekers de beveiliging van de Ledger Blue hebben omzeild, is gewoonweg heel gaaf om te zien!
Over de auteur
Steun
LekkerCryptisch wordt gesteund door:
-
Bitcoin Meester: Veilig en snel Crypto kopen en verkopen
- BLOX: Dé Nederlandse crypto-app
Meer nieuws
-
Zet je geld weer aan het werk: ontvang rente op bitcoin, ether, en meer
-
Bitcoinkoers daalt 20 procent na nieuw record boven 40.000 dollar
-
Sparta Rotterdam heeft al 128 miljoen sats gespaard door te voetballen
-
Bitcoin groeit in 12 jaar van experiment zonder waarde naar digitaal goud (en meer)
-
Bitcoin viert vandaag 12e verjaardag met koers boven 34.000 dollar
-
Bitcoin boven de 30.000 dollar, what's next?