Onderzoekers tonen kwetsbaarheden hardware wallets aan, Trezor belooft firmware-update

Een team van onderzoekers is een groot deel van dit jaar bezig geweest met het zoeken naar kwetsbaarheden in hardware wallets. Met succes. In een recent gepubliceerde presentatie schitteren de Trezor One, Ledger Nano S, en Ledger Blue.

Veiligheid

Onderzoekers tonen kwetsbaarheden hardware wallets aan, Trezor belooft firmware-update
0%
Peter Slagter
Door Peter Slagter

In de presentatie leggen de drie onderzoekers uit op welke manier ze gezocht hebben naar kwetsbaarheden in de populaire hardware wallets. Ze vertellen over de (hardware) architectuur, en demonstreren kwetsbaarheden in hardware, software, en firmware. Voor de techneuten onder ons zeer de moeite waard om de hele presentatie (61 minuten) te bekijken.

Eén van de dingen die het team laat zien, is dat de private key van een Trezor One af te halen. Om dat te doen, hebben ze eigen firmware geschreven, en de bestaande daarmee vervangen. Je kunt je er overigens eenvoudig tegen wapenen: stel een wachtwoord in als aanvulling op de beveiliging.

Pavol Rusnak, CTO bij SatoshiLabs (het bedrijf achter Trezor), was niet op de hoogte van de bevindingen van de onderzoekers:

Ook de Ledger Nano S was onderwerp van gesprek. De hackers konden willekeurige firmware op het apparaat installeren, en demonstreerden dat door het spel Snake op de wallet te installeren. Eén van de teamleden vult aan:

“We kunnen malafide transacties naar de ST31 [de veilige chip] sturen en die transacties zelf bevestigen [met software]. Of we tonen simpelweg een andere transactie dan degene die op de achtergrond daadwerkelijk is uitgevoerd.”

In een reactie stelt Ledger dat de gevonden kwetsbaarheden niet kritiek zijn voor de veiligheid van de wallet. Mocht je nog wat tijd over hebben, zorg er dan voor dat je de presentatie even bekijkt. De manier waarop de onderzoekers de beveiliging van de Ledger Blue hebben omzeild, is gewoonweg heel gaaf om te zien!

Over de auteur

Peter Slagter

Peter Slagter

Hoofdredacteur en medeoprichter van LekkerCryptisch. Voorliefde voor techniek en economie, met in het bijzonder de overlap tussen die twee. Vind het leuk om complexe onderwerpen toegankelijk te maken voor een breed publiek.

Steun

LekkerCryptisch wordt gesteund door BLOX.

Altijd op de hoogte