Bitcoin hardware wallet Ledger dicht gaten in veiligheid met update

Kraken Security Labs heeft een potentiële aanvallen op de populaire hardware wallet Ledger gevonden. De security tak van de gelijknamige bitcoinbeurs maakt dit bekend in een blogpost.

Geen paniek, het lijkt erop dat deze aanval vooral in theorie mogelijk was. De kwetsbaarheid is inmiddels opgelost.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

Aanvallen

Kwaadwillenden kunnen volgens de onderzoekers in theorie rommelen met transacties voordat je ze ontvangt op de Ledger Nano X. Het gaat dan om een scenario waar een crimineel ergens in het proces de wallet in handen heeft gekregen.

Denk bijvoorbeeld aan een malafide verkoper of tijdens het versturen van je pakketje. In theorie kunnen aanvallers door deze fout toegang krijgen tot computers die verbonden zijn met de Ledger en malware installeren.

Het installeren van malafide software is een populaire manier voor criminelen om geld te stelen. Vorige maand ondervond een Nederlandse vrouw dit op de harde manier: ze verloor ruim 34.000 euro door het installeren van een verkeerde plug-in.

Opgelost

Kraken Security Labs geeft aan dat het probleem inmiddels is opgelost met een firmware update. En dat is maar goed ook, anders was het wachten op de eerste berichten van mensen die hun geld verloren door een fout van de hardwarefabrikant.

Uiteindelijk ben je overigens zelf verantwoordelijk voor het opslaan van je bitcoin en dat geldt dus ook voor de manier waarop je jouw BTC opslaat.

Twee soorten aanvallen

Kwaadwillenden konden de fout gebruiken om een Ledger Nano X te infecteren door het debugging protocol aan te passen. Daarmee kan de wallet worden ingezet als ‘input device’ zoals bijvoorbeeld een muis of toetsenbord.

In een YouTube video laat Kraken zien hoe dat eruit ziet. De onderzoekers van Kraken konden met de wallet navigeren naar een browser en naar de website van de beurs gaan met alleen de Ledger Nano X als input device. Hiermee kun je dus, in theorie, ook andere dingen downloaden op een computer.

De tweede aanval laat het toe om transacties te doen terwijl de display van het apparaat uitstaat. Zo kunnen criminelen je in de maling nemen door je ervan te overtuigen een bepaalde knoppencombinatie in te voeren om een transactie goed te keuren.

Ledger reageert met een samenvatting en uitleg over de problemen de problemen. Zij bevestigen dat dit soort aanvallen mogelijk waren.

Lees meer over:
Bitcoin nieuwsKraken

    Door: Robin Heester

    Sinds 2016 bezig met cryptocurrency. Nu al geruime tijd vooral bezig met bitcoin. Hup bitcoin! :)