Die Gewinner im Kampf Ledger vs Trezor sind… Sie

Sead Fadilpašić
| 2 min read

Zwei der größten Hersteller von Hardware-Wallets, Ledger und Trezor, lagen im Streit über Schwachstellen, die Ledger auf Trezors Geräten entdeckt hat. Der Streit endete damit, dass Ledger sagte, sie hätten "Trezor Zeit eingeräumt", um die entdeckten Probleme zu beheben, und Trezor antwortete: "Keiner dieser Angriffe ist aus der Ferne ausnutzbar", was Ledger effektiv sagte, sie in Ruhe zu lassen. Der größte Gewinner wäre jedoch der Endanwender, der von mehr Sicherheit profitieren kann.

Quelle: ein Video (von Cursed Mining) Screenshot.

Das Problem begann, als Ledger kürzlich enthüllte, dass Ledger Donjon, ihr Sicherheitsteam, ein Angriffslabor in ihrem Pariser Hauptsitz hat, mit dem sie sowohl ihre eigenen als auch die Geräte ihrer Konkurrenten hacken, um Schwachstellen aufzudecken.

Eines der Geräte, in die sie sich angeblich hacken konnten, war die Hardwaretasche ihres Trezor – ihr direkter Konkurrent. In einem Blog Post, der sich mit der Geschichte befasst, schreibt das Team von Ledger, "Vor etwa vier Monaten haben wir Trezor kontaktiert, um fünf Schwachstellen zu melden, die unser Angriffslabor entdeckt hat. Wie immer gaben wir Trezor eine verantwortungsvolle Offenlegungsfrist, um an diesen Schwachstellen zu arbeiten und gewährten ihnen sogar zwei Erweiterungen." Im Blog-Post heißt es jedoch weiter, dass Trezor nicht geantwortet hat und dass diese beiden "Verlängerungsfristen" inzwischen abgelaufen sind.

Diese Frage wurde erneut auf der MIT Bitcoin Expo-Veranstaltung gestellt, bei der Ledger die Schwachstellen wiederholte:

Diesmal antwortete Trezor schließlich.

"Während es wahr ist, dass Ledger während der gesamten Offenbarung mit uns berichtet und kommuniziert hat, werden einige der Fakten während ihrer Präsentation unterschiedlich dargestellt, was versehentlich zu einer alarmierenden Interpretation der Schwachstellen geführt hat. Aus diesem Grund möchten wir die geltend gemachten Ansprüche ansprechen, klären und entsprechend reagieren", schrieben sie in einer E-Mail an die Medien.

Das offizielle Statement, das in ihrem Blog veröffentlicht wurde, besagt, dass "keiner dieser Angriffe [von Ledger vorgebracht] aus der Ferne ausnutzbar ist", und fügt hinzu, dass "alle der demonstrierten Angriffsvektoren physischen Zugriff auf das Gerät, spezielle Ausrüstung, Zeit und technisches Fachwissen erfordern".

"In Kombination mit starken Passphrasen und zumindest den grundlegenden operativen Sicherheitsprinzipien können selbst die physischen Angriffe des Ledgers die Trezor-Benutzer nicht beeinträchtigen", so Trezor weiter.

In der Zwischenzeit, obwohl die Nutzer zustimmen, dass Trezor mit ihrer Antwort den Kampf gewonnen hat, sind am Ende die wahren Gewinner die Nutzer selbst. Diese Situation veranlasst beide Unternehmen, in Bezug auf die Sicherheit ihrer Spiele die Kontrolle zu behalten und sie zu zwingen, mit ihrer Benutzerdatenbank transparent zu sein. Das alles ähnelt dem, was im Dezember auf dem 35. Chaos Communication Congress in Leipzig geschah: Ein Team namens wallet.fail demonstrierteeine Reihe von Angriffen auf Trezor- und Ledger-Hardwaretaschen und zeigte, dass selbst Hardware-Wallets von Kriminellen, die direkten Zugang zu ihren Zielen haben, kompromittiert werden können. Ledger antwortete, dass es wallet.fail "nicht gelungen ist, weder Samen noch PIN auf einem gestohlenen Gerät zu extrahieren. Alle sensiblen Vermögenswerte, die auf dem Secure Element gespeichert sind, bleiben sicher."

Damals fasste der Twitter-Nutzer Felix Weis das Problem in einem Tweet zusammen: "Stellen Sie sich eine Hardware-Wallet als ein einziges Kondom für Ihre Bitcoins vor. Die richtige Anwendung kann Sie vor der überwiegenden Mehrheit der unerwünschten Schwangerschaften schützen. Aber es wird dich nicht vor einer gemeinen Ex-Freundin mit physischem Zugang zu deinen Kondomen schützen."

Sie finden de.CryptoNews auch auf Facebook und Twitter.