Onderzoekers tonen kwetsbaarheden hardware wallets aan, Trezor belooft firmware-update

In de presentatie leggen de drie onderzoekers uit op welke manier ze gezocht hebben naar kwetsbaarheden in de populaire hardware wallets. Ze vertellen over de (hardware) architectuur, en demonstreren kwetsbaarheden in hardware, software, en firmware. Voor de techneuten onder ons zeer de moeite waard om de hele presentatie (61 minuten) te bekijken.

Eén van de dingen die het team laat zien, is dat de private key van een Trezor One af te halen. Om dat te doen, hebben ze eigen firmware geschreven, en de bestaande daarmee vervangen. Je kunt je er overigens eenvoudig tegen wapenen: stel een wachtwoord in als aanvulling op de beveiliging.

Pavol Rusnak, CTO bij SatoshiLabs (het bedrijf achter Trezor), was niet op de hoogte van de bevindingen van de onderzoekers:

With regards to #35c3 findings about @Trezor: we were not informed via our Reponsible Disclosure program beforehands, so we learned about them from the stage. We need to take some time to fix these and we'll be addressing them via a firmware update at the end of January.

— stick⚡Pavol Rusnak @ 35c3 (@pavolrusnak) December 28, 2018

Ook de Ledger Nano S was onderwerp van gesprek. De hackers konden willekeurige firmware op het apparaat installeren, en demonstreerden dat door het spel Snake op de wallet te installeren. Eén van de teamleden vult aan:

“We kunnen malafide transacties naar de ST31 [de veilige chip] sturen en die transacties zelf bevestigen [met software]. Of we tonen simpelweg een andere transactie dan degene die op de achtergrond daadwerkelijk is uitgevoerd.”

In een reactie stelt Ledger dat de gevonden kwetsbaarheden niet kritiek zijn voor de veiligheid van de wallet. Mocht je nog wat tijd over hebben, zorg er dan voor dat je de presentatie even bekijkt. De manier waarop de onderzoekers de beveiliging van de Ledger Blue hebben omzeild, is gewoonweg heel gaaf om te zien!