Duell der Wallet-Giganten: Ledger findet 4 Sicherheitslücken bei Trezor, Trezor reagiert

Bildnachweis: pixabay.com | CC0

Auf dem Gebiet der Hardware Wallets für Kryptowährungen gibt es zwei Unternehmen, die den Markt beherrschen: Ledger und Trezor. Die Wallet von Ledger wurde besonders durch die gewohnte Form eines USB-Sticks bekannt und entwickelte sich zur beliebtesten Form der sicheren Aufbewahrung seiner Coins und Tokens. Jetzt hat das französische Unternehmen einen Bericht veröffentlicht, der gleich fünf Sicherheitslücken bei der Hardware Wallet von Trezor aufzeigen soll. Welche das sind und warum diese nicht so dramatisch sind, wie sie auf den ersten Blick erscheinen mögen.

4 Sicherheitslücken bei Trezor ONE und Trezor T

Der Hardware-Wallet Produzent Ledger mit Hauptsitz in Paris veröffentlichte gestern, am 12. März 2019, einen Bericht, in dem vier Sicherheitslücken der Hardware der Konkurrenz aufgedeckt werden. Mit den Worten: "Sicherheit steht an vorderster Stelle bei allem, was wir bei Ledger - sie ist in jedem Produkt, welches wir verkaufen und in jede Entscheidung die wir treffen, eingebunden. Jeden Tag fordern wir uns selbst heraus, Technologien und Produkte zu kreieren, die noch besser und sicherer sind.", beginnt das Unternehmen ihren Bericht.

Als globaler Marktführer im Bereichen der Blockchain-Sicherheitslösungen denken wir, dass unser Streben nach Sicherheit nicht nur uns betrifft. Wir haben die Verantwortung, die Sicherheit in der gesamten Blockchain Ökonomie zu erhöhen.

Die vier gefundenen Sicherheitslücken beim Trezor Hardware Wallet sind folgende:

  1. Echtheit des Gerätes: Das Wallet von Trezor sei unerkenntlich kopierbar, was von Kunden nicht erkannt wird. Erhält ein Kunde ein gefälschtes Gerät, haben die Betrüger Zugriff auf alle Kryptowährungen der Opfer. Das Sicherheitssiegel lässt sich mit einem warmen Skalpel unbemerkt entfernen.
  2. PIN-Sicherheit: Laut Ledger ist die Pin-Sicherheit nicht unmöglich zu manipulieren. Mit einer "Side Channel Attack" soll es möglich sein, bei einem gestohlenen Gerät den PIN Code zu raten.
  3. Vertraulichkeit der Daten innerhalb des Gerätes (Trezor ONE und Trezor T): Ein Dieb im Besitz des Wallet kann sich Zugriff an den Flash Speicher des Gerätes verschaffen und somit alle Kryptowährungen stehlen. Dieser Fehler lasse sich nicht durch einen einfachen Patch beheben.
  4. Analyse des Kryptographischen Stacks: ein Angreifer im Besitz des Wallets könnte sich Zugriff auf die Private Keys verschaffen. Dafür muss der Hacker aber den PIN-Code des Gerätes wissen.

Trezor reagiert auf die Vorwürfe

Trezor lässt die Vorwürfe des direkten Konkurrenten Ledger natürlich nicht einfach auf sich sitzen und reagiert dementsprechend in Form eines Blog-Beitrags auf ihrer Website. Um es kurz zu fassen: 2 der 4 Sicherheitslücken wurden bereits gepatched. Mit der Sicherheitslücke, dass das Gerät kopierbar sei und sich das Sicherheitssiegel entfernen lässt, haben nach Angaben von Trezor alle Hersteller zu kämpfen. Keine 100% sichere Lösung wurde bisher dazu präsentiert. Dass man für eine der Sicherheitslücke den PIN des Gerätes benötigt, wurde von Ledger selbst erwähnt.

Besonders wichtig: Trezor merkt an, dass keine dieser Sicherheitslücken von der Ferne gesteuert werden kann. Der Hacker benötigt ausnahmslos immer physikalischen Zugriff auf das Gerät.

Zusammenfassend lässt sich sagen, dass es mit großer Wahrscheinlichkeit immer wieder Lücken im Sicherheitssystem einer Hardware Wallet geben wird. Immerhin werden auch diese "nur" von Menschen hergestellt.

KRYPTOKUMPEL.

Teile diese Nachricht mit der Community: