Der Kryptowährungs-Boom des letzten Jahres hat nicht nur temporär Grafikkartenpreise in die Höhe getrieben, sondern auch Nachfrage für allerlei neue Services und Produkte erzeugt. Eines davon sind Hardware-Wallets. Sie versprechen mehr Sicherheit, als eine Hinterlegung auf der eigenen Festplatte oder in einem Online-Wallet. Am Chaos Communication Congress (35c3) in Leipzig zeigten sich nun ihre Schwachstellen.

Die Hardware-Geldbörsen kommen üblicherweise im Format eines USB-Sticks. Sie sollen den Schlüssel, der den Zugang zum eigenen Bestand an Bitcoin, Ethereum und Co. Frei gibt, sicher verwahren. Für die Genehmigung einer Transaktion muss eine Taste gedrückt oder ein Pincode eingegeben werden. Somit dient er als externer Authentifizierungsmechanismus.

Schwächen

In der Praxis fand das Hacker-Trio Dmitry Nedospasov, Josh Datko und Thomas Roth jedoch allerlei Schwächen, fasst Heise zusammen. So soll das Gehäuse der Geräte sich üblicherweise einfach und spurlos öffnen lassen, was noch vor der Auslieferung an den Nutzer ein gewisses Manipulationsrisiko mit sich bringt – etwa für den Einbau eines Mechanismus zur Fern-Bestätigung von Transaktionen.

Allerdings gelang auch viel direkterer Zugriff. So konnte man etwa auf dem Modell Ledger Nano S eigene Firmware aufspielen, obwohl der Hersteller als Reaktion auf frühere Berichte über das unsichere Design einen Verifikationsmechanismus entwickelt hatte. Zur Demonstration wurde eine Version des Spieles Snake auf dem Wallet gespielt. Beim Modell Ledger Blue konnte man mit Funkmodul und KI-Hilfe den Datenverkehr zwischen Microcontroller und der restlichen Hardware abhören und den PIN herausfinden.

Deutlich mehr zu tun hatte man mit dem Trezor One. Hier musste man drei Monate lang experimentieren, ehe man einen Angriffsweg über den Bootprozess fand, indem man die Stromversorgung manipulierte.

Transparenz

Die Forscher erklären, mit ihrer Arbeit zu mehr Sicherheit für Krypto-Produkte beitragen zu wollen. Auf der Website Wallet.fail sollen ihre Erkenntnisse – inklusive dem Code der "Snake"-Firmware – aus den Sicherheitstests publiziert werden. Die Aufzeichnung ihres Vortrags ist bereits auf der Website des CCC abrufbar. (red, 28.12.2018)