35C3: Attacken auf Crypto Wallets

Hardware Wallets sollen Crypto-Währungen schützen. In Leipzig demonstrierten Hacker Lücken in den vermeintlich sicheren Geräten.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
35C3: Attacken auf Crypto-Wallets

Die Hersteller bewerben ihre Hardware Wallets als sicheren Ausbewahrungsort fĂĽr  Crypto-Währungen.

(Bild: Trezor)

Lesezeit: 5 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Der Boom um Krypto-Währungen hat gezeigt: Verschlüsselung ist nicht mit Sicherheit gleichzusetzen. Um sich zumindest gegen einige der offensichtlichsten Diebstahl-Maschen abzusichern setzen deshalb viele Bitcoin-Enthusiasten auf Hardware Wallets, die die kryptografischen Schlüssel vor unbefugten Zugriffen schützen sollen.

Wie Dmitry Nedospasov, Thomas Roth und Josh Datko beim 35C3 in Leipzig zeigten, sind auch hochwertige Wallets nicht gegen die Art von Angriffen gefeit, mit denen sich sonst auch die Schutzmechanismen von iPhones und Spielekonsolen knacken lassen.

"Es mag schmerzhaft zu hören sein, aber nicht wirklich viele Leute kümmern sich um die Sicherheit von Krypto-Währungen", erklärte Dmitry Nedospasov zu Beginn der Vorführung. So hatte das Team sich in den vergangenen sechs Monaten mit einer Reihe von Hardware Wallets angesehen und eine Reihe von Schwachstellen gefunden.

Bei den Geräten handelt es sich meist um USB-Geräte mit Display und einigen Knöpfen, mit denen der Nutzer Zahlungen autorisieren muss, bevor sie mit Hilfe des auf dem Speicher befindlichen privaten Schlüssels abgeschickt werden können. Die Schlüssel verlassen dabei nicht das Gerät.

Besonders hart gingen die Hacker mit den bei einigen Herstellern verbreiteten Sicherheits-Aufklebern ins Gericht, die Echtheit und Unversehrtheit der Hardware garantieren sollten. "Sticker sind dazu da, um sie auf Laptops zu kleben, aber sie dienen nicht der Sicherheit", erklärte Josh Datko. So ließen sich die Aufkleber nicht nur allesamt mit Hilfe eines handelsüblichen Föns rückstandslos entfernen, sie sorgten zusätzlich bei den Käufern der Hardware Wallets zu Verwirrung. Wer also in die Lieferkette zugreifen kann, hat freie Bahn die Hardware direkt zu manipulieren. Auch die Gehäuse der Geräte lassen sich meist einfach und spurlos öffnen.

Hat ein Angreifer physikalischen Zugang zum Gerät, sind kaum Grenzen gesetzt. So implantierte Datko in Geräte der Marken Trezor und Ledger kurzerhand einen Funkempänger, der den Tastendruck zur Bestätigung einer Transaktion auslöst. Ein Angreifer kann auf diese Weise aus einiger Entfernung eine Zahlung bestätigen ohne dass es der Besitzer mitbekommt. Eine vom Hersteller angebotene Verifizierungs-Routine erkannte die Manipulation dabei nicht.

Potenter ist jedoch eine Lösung, die direkt die Software in der Wallet aushebelt. Hier machten sich die Sicherheitsforscher zum Beispiel eine Designschwäche des Ledger Nano S zu Nutze, dessen abgesicherter ST31-Microcontroller von ungesicherter Hardware befüttert wird. Um diese unter Kontrolle zu bringen, war es einst möglich, eine beliebige Firmware einzuspielen. Doch nach Publikation dieser Attacke im Frühjahr hatte der Hersteller den Update-Prozess um eine kryptografische Verifizierung ergänzt.

Statt jedoch diesen Schutzmechanismus zu knacken, schafften es die Forscher dem System eine erfolgreiche Überprüfung vorzugaukeln, indem sie die Konstante 0xF00DBABE in einen bestimmten Speicherbereich schrieben. Dies hatte der Hersteller zwar zu unterbinden versucht, doch berücksichtigte dabei nicht, dass man den Flash-Speicher unterschiedlich addressieren kann. Um den abgesicherten Microcontroller zu überzeugen, dass die Original-Firmware läuft, mussten die Hacker zudem einen Kompressions-Algorithmus schreiben. Ergebnis: Die Angreifer haben die vollständige Kontrolle. Roth demonstrierte das, indem er auf dem Gerät das Spiel "Snake" installierte.

Beim großen Bruder des Nano S, dem Ledger Blue, bot sich eine andere Angriffsmethode an. Hier entdeckten die Forscher eine ungewöhnlich lange Leitung zwischen dem abgesicherten Microcontroller und dem Rest der Hardware. Folge: Es ist Angreifern möglich, mit einem Funkempfänger die Kommunikation innerhalb des Geräts abzuhören – das angeschlossene USB-Kabel diente hierbei als Zusatz-Antenne.

Zur Analyse der Signale setzten die Hacker eine cloudbasierte AI-Instanz ein – Ergebnis: durch das mitgeschittene Signal konnte ein Angreifer mit 98-prozentiger Sicherheit die eingegebene PIN erraten. Ein Dieb könnte somit die Wallet übernehmen.

Die größte Herausforderung für die Hacker war hingegen der Trezor One, dessen abgesicherter STM32-Microcontroller nicht so einfach zu umgehen ist wie bei den Konkurrenzprodukten. Dessen Ausleseschutz konnten die Hacker erst nach dreimonatigem Ausprobieren ausschalten, indem sie die Stromversorgung genau zum richtigen Moment im Bootprozess manipulierten. Über diesen Umweg erhielten die Hacker Zugriff auf das RAM.

Eine weitere Sicherheitsfunktion im Upgrade-Prozess kam den Hackern dabei zupass: Der Nutzer soll die Checksumme einer neuen Firmware-Version verifizieren – und an dieser Stelle sind alle geheimnen Informationen im RAM und konnten ausgelesen werden, samt kryptographischem Seed und PIN. Immerhin: Über einen zusätzlichen Passwortschutz kann diese Attacke verhindert werden.

Die Dokumentation der verschiedenen Angriffsformen wollen die Hacker im Laufe der Zeit auf ihrer Website wallet.fail veröffentlichen. "Wir wollen keinen Schaden anrichten", versicherte Roth dabei. Ihnen gehe es darum, die Sicherheit im Crypto-Umfeld zu erhöhen. (nij)