Axiom0815 Posted February 4, 2018 Share Posted February 4, 2018 (edited) Ledger Addresses Man in the Middle Attack That Threatens Millions of Hardware Wallets Hardware wallet manufacturer Ledger, which sold over one million devices last year, has alerted its users to a major attack vector that’s recently been discovered. Although there are no reported cases of the attack being successfully deployed, the threat itself is very real. Today, Ledger urged users of its cryptocurrency wallets to take steps to avoid falling prey to the address spoofing attack. Ledger Adressen Man in the Middle Angriff, der Millionen Hardware-Geldbörsen bedroht Der Hardware-Wallet-Hersteller Ledger, der letztes Jahr mehr als eine Million Geräte verkauft hat, hat seine Benutzer auf einen großen Angriffsvektor aufmerksam gemacht, der kürzlich entdeckt wurde. Obwohl keine Fälle bekannt sind, in denen der Angriff erfolgreich ausgeführt wurde, ist die Bedrohung selbst sehr real. Heute drängte Ledger die Benutzer seiner Cryptocurrency-Geldbörsen dazu, Schritte zu unternehmen, um zu verhindern, dass sie Opfer des Spoofing-Angriffs werden. Sorry, leider nur in Englisch, dafür aktuell. https://news.bitcoin.com/ledger-addresses-man-in-the-middle-attack-that-threatens-millions-of-hardware-wallets/ Ich persönlich nutze Ledger mit Electrum zusammen. Java-Script im Browser ist einfach zu gefährdet. Axiom Edited February 4, 2018 by Axiom0815 3 Link to comment Share on other sites More sharing options...
rkr Posted February 4, 2018 Share Posted February 4, 2018 Na toll, vor ein paar Tagen habe ich gerade einen bestellt aber danke für die Info - werde dann gleich mal lesen... Link to comment Share on other sites More sharing options...
rkr Posted February 5, 2018 Share Posted February 5, 2018 6 hours ago, Axiom0815 said: Ledger Addresses Man in the Middle Attack That Threatens Millions of Hardware Wallets Hardware wallet manufacturer Ledger, which sold over one million devices last year, has alerted its users to a major attack vector that’s recently been discovered. Although there are no reported cases of the attack being successfully deployed, the threat itself is very real. Today, Ledger urged users of its cryptocurrency wallets to take steps to avoid falling prey to the address spoofing attack. Ledger Adressen Man in the Middle Angriff, der Millionen Hardware-Geldbörsen bedroht Der Hardware-Wallet-Hersteller Ledger, der letztes Jahr mehr als eine Million Geräte verkauft hat, hat seine Benutzer auf einen großen Angriffsvektor aufmerksam gemacht, der kürzlich entdeckt wurde. Obwohl keine Fälle bekannt sind, in denen der Angriff erfolgreich ausgeführt wurde, ist die Bedrohung selbst sehr real. Heute drängte Ledger die Benutzer seiner Cryptocurrency-Geldbörsen dazu, Schritte zu unternehmen, um zu verhindern, dass sie Opfer des Spoofing-Angriffs werden. Sorry, leider nur in Englisch, dafür aktuell. https://news.bitcoin.com/ledger-addresses-man-in-the-middle-attack-that-threatens-millions-of-hardware-wallets/ Ich persönlich nutze Ledger mit Electrum zusammen. Java-Script im Browser ist einfach zu gefährdet. Axiom Wie ist / wäre die Handhabe vom Ledger mit Electrum? Electrum war eine "normale" Software Wallet, oder? Spielt es eine Rolle auf welchem System es läuft (Win, Linux, VM)? Wäre MyEtherWallet in Kombi mit dem Ledger sicherer als über den Ledger Browser? Link to comment Share on other sites More sharing options...
Axiom0815 Posted February 5, 2018 Author Share Posted February 5, 2018 vor 1 Stunde schrieb rkr: Wie ist / wäre die Handhabe vom Ledger mit Electrum? Electrum war eine "normale" Software Wallet, oder? Spielt es eine Rolle auf welchem System es läuft (Win, Linux, VM)? Du lädst von der Seite https://electrum.org die Software für Dein System runter und installierst sie. Dann bei der neuen Wallet auf Hardwarewallet gehen, Ledger einrichten und fertig. Jetzt ist es eine Wallet wie üblich, nur man muss den Ledger nutzen, um Senden zu bestätigen. Also die Hardware-Wallet bleibt der Sicherheitscontainer. (Ohne Ledger ist es eine Offline-Wallet.) Genauere Anleitungen zu Electrum findest du hier im Forum. Axiom 1 Link to comment Share on other sites More sharing options...
Theoretiker Posted February 5, 2018 Share Posted February 5, 2018 Hallo, so eine Attacke ist mit der einzige Angriffsvektor an einer Hardware Wallet und nicht zu verhindern. Eine Hardware Wallet wie der Ledger Nano kann nie dafür sorgen, dass der Rechner an dem sie benutzt wird nicht kompromittiert wird. Da diese "Attacke" jedoch leicht falsch verstanden wird, hier noch mal in eigenen Worten: Der Angriff besteht darin auf dem Rechner an dem die Wallet angesteckt ist etwas anderes anzuzeigen, also eine falsche Adresse. Ob dies durch ein Javascript oder eine Malware gemacht wird die z.B. die Zwischenablage scannt und ersetzt spielt eigentlich keine Rolle. Man sollte dem Rechner nicht trauen und man muss dies auch nicht. (Genau das zeichnet eine Hardware Wallet aus) Auf dem Display den Ledger Nanos steht immer die Adresse an die die Transaktion gesendet wird. Diese sollte man immer zumindest die ersten und letzten Zeichen abgleichen, genau wie man das auch mit diesen TAN Generatoren der Banken machen würde. 4 Link to comment Share on other sites More sharing options...
veniceline Posted February 5, 2018 Share Posted February 5, 2018 Hier hilft ein Betriebssystem auf einen Stick zu installieren und nur von dort aus zu transferieren. Malware hat dann keinen Zugriff. Beim BTC kann man die Adresse prüfen. Beim ETH wird wohl daran gearbeitet. Link to comment Share on other sites More sharing options...
Theoretiker Posted February 5, 2018 Share Posted February 5, 2018 Beim Senden kann man die Adressen immer im Display vom Nano Ledger prüfen, beim Empfangen ist es abhängig von der Wallet Software. Für Ethereum kann man bei https://www.myetherwallet.com rechts im Menü zum Beispiel auf "Display Address on Ledger" klicken um die Empfangsadresse auf dem Display des Nano Ledgers anzeigen zu lassen. Link to comment Share on other sites More sharing options...
CChris Posted February 13, 2018 Share Posted February 13, 2018 On 2/5/2018 at 6:42 PM, veniceline said: Hier hilft ein Betriebssystem auf einen Stick zu installieren und nur von dort aus zu transferieren. Malware hat dann keinen Zugriff. Beim BTC kann man die Adresse prüfen. Beim ETH wird wohl daran gearbeitet. Seit wann? Sobald ein System am Netz hängt, ist es potentiell gegen Angriffe gefährdet. Ein Betriebssystem auf dem USB Stick benötigt genau so schreib Berechtigungen auf dem Datenträger, wie ein OS auf einer Platte installiert - und schon kann sich auch eine Schadsoftware darauf einschleusen. Hinzu kommt, dass eine MitM Attacke noch nicht einmal zwingend auf dem Rechner ausgeführt werden muss. Dies ist durchaus auch via verschiedenster Exploits und Sicherheitslücken in der Software möglich, welche ausgeführt wird. Sein System also up to date zu halten, ist ZWINGEND erforderlich, wenn man mit Cryptowährungen und entsprechender Geldsummen zu tun hat. Die Größten Schwachstellen - seien es Harware-Wallets, Paperwallets, Software und co. sind am Ende immer noch die Benutzer dieser! Und ich will nicht wissen, bei wie vielen Usern, welche hier über Sicherheit und Schwachstellen diskutieren bei einem kurzen Blick auf das System z.B. JAVA nicht in der aktuellsten Version im Hintergrund läuft Link to comment Share on other sites More sharing options...
Niwla71 Posted February 15, 2018 Share Posted February 15, 2018 Weis jemand von euch, wenn man sich auf einem Wallet des Ledgers eingeloggt hat und man dann auf ein anderes Wallet des Ledgers zugreifen möchte, dass dieses nicht funktioniert? Also man muss sich erst wieder ausloggen und dann wieder erneut einloggen (Eingabe des Ledgerpins) um auf ein anderes Wallet des Legers zugreifen zu können. Das nervt gewaltig, da es bei mir immer erst nach einigen Versuchen klappt sich erneut einzuloggen. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now