15-jarige onderzoeker ontdekt lek in Ledger-cryptowallet

De 15-jarige beveiligingsonderzoeker Saleem Rashid heeft een beveiligingslek in de Ledger cryptowallets-hardware gevonden. Kwaadwillenden kunnen via deze kwetsbaarheid cryptovaluta buitmaken.

Ledger-cryptowallets lijken uiterlijk op een USB-stick. In de Ledger wordt de private key van een asymetrische encryptie (PKI) opgeslagen. Deze sleutel wordt gebruikt voor het genereren van codes waarmee cryptovaluta kan worden verstuurd. Deze sleutels worden met een beveiligde chip op de wallet afgeschermd van de computer. Alleen de gegenereerde codes worden zichtbaar gemaakt. Hierdoor is het niet mogelijk om de private key direct uit te lezen via een technische kwetsbaarheid en hiermee cryptocurrency van de eigenaar te stelen.

Private keys

Ledger-wallets hebben echter ook een onbeveiligde microcontroller die informatie deelt met de beveiligde chip. Een aanvaller die fysiek toegang heeft tot de Ledger-wallet kan hierdoor toch de private key achterhalen. “Een aanvaller kan deze kwetsbaarheid misbruiken om het apparaat te compromitteren voordat de gebruiker het apparaat ontvangt, of om fysiek private keys van het apparaat te stelen of, in sommige gevallen, dit op afstand te doen,” stelt Saleem Rashid. De cryptowallets zijn weliswaar voorzien van een controlemechanisme dat checkt of de wallet niet is gemanipuleerd, maar deze beveiliging is te passeren. Als een kwaadwillende de private key eenmaal in handen heeft, kan hij cryptovaluta ontvreemden.

Resellers

Ledger brengt de cryptowallets zelf op de markt, maar ook via resellers. Zij zouden gemanipuleerde cryptowallets-hardware van de fabrikant kunnen verkopen. Ledger heeft inmiddels een firmware-update ter beschikking gesteld. Voor Ledger Blue, een multi-cryptovalutawallet in de vorm van een mini tablet, is nog geen patch uitgebracht. Gebruikers van Ledger Blue kunnen hun factuur naar de fabrikant zenden, om na te gaan of deze via een geautoriseerde reseller is aangekocht.

Aanmelden voor onze nieuwsbrief