Kritieke bug in Ledger Nano S, cruciaal dat je update
Bijna anderhalve maand geleden kwam Ledger met een firmware update voor de Nano S. Daarin is een kritische bug opgelost die gebruikt kan worden om al je geld van alle accounts af te halen zonder dat je het door hebt. Nog niet geüpdate? Doen!
“Veiligheidsverbeteringen”
Onder die noemer noemt Ledger het oplossen van een kritische bug bij het uitbrengen van firmware-versie 1.5.5. In de lijst met veiligheidsverbeteringen staat dat een “kritische kwetsbaarheid in de Bitcoin-app is opgelost die door Mycelium is gerapporteerd”.
Er volgt een korte alinea met een dankwoord aan Sergey Lappo, voormalig ontwikkelaar bij Mycelium. Hij rapporteerde de kwetsbaarheid op een “verantwoorde manier”, en daar is Ledger hem dankbaar voor.
Wat volgt is... vrij weinig. Je zou verwachten dat Ledger het updaten van de firmware verplicht stelt, of in ieder geval van de daken schreeuwt dat het écht nodig is om een update uit te voeren. Dat lijkt niet gebeurd te zijn.
2/4 @LappoSergey from @MyceliumCom found the bug, with some help from @LeoWandersleb. He quietly released a blog post detailing the bug, and it's VERY serious.
— Ruben Somsen ⚡️🇳🅾️2️⃣❎ (@SomsenRuben) February 27, 2019
The Ledger can be fooled into sending away ALL funds from ALL your accounts, with NO warning from the device...🤐
Updaten!
Als je geld bewaart op een hardware wallet, is het echt belangrijk dat je ervoor zorgt dat je van de meest recente firmware gebruikmaakt. Firmware kan je zien als het besturingssysteem van je portemonnee. Als daar een (kritieke) bug in zit, kan dat verregaande gevolgen hebben.
Je firmware moet minimaal versie 1.5.5 zijn. Is je firmware lager dan dat? Zorg er dan voor dat je update. Hier staat beschreven hoe je dat doet. Je kunt ook deze video-tutorial volgen:
Loop je risico?
Als je van oude firmware gebruikt: ja! Op deze manier kan een kwaadwillende je geld stelen:
- Je start een betaling met gebruik van malafide software.
- Ongemerkt worden alle munten gebruikt als input.
- De Ledger wordt voor de gek gehouden en gebruikt een aangepast ontvangstadres.
- Je bevestigt de transactie, die er voor jou normaal uitziet.
- De aanvaller ontvangt al je geld.
Hier zie je het uitbaten van de bug in werking:
Je zou bijna zeggen dat het voor de gewone gebruiker beter is om een custodial wallet te hebben, waar de boel professioneel beheerd wordt en verzekerd is tegen hacks/verlies. Wallie, kom er maar in?
Het best is natuurlijk om je eigen geld te beheren. Immers: “Not your keys, not your coins”. Zorg er wél voor dat je de kluis waar je geld in bewaart veilig is!
Iedereen heeft een mening
Onder de noemer Opinie schrijven we regelmatig over een spraakmakende podcast, video of tweetstorm.
We zijn het niet noodzakelijkerwijs eens met de spreker of schrijver, maar vinden het interessant genoeg om
te delen, duiden en ondertitelen.
Over de auteur
