Zum Inhalt springen

böses Faul - Ledger Wallet App


Empfohlene Beiträge

So, heute ist die Sendung vom Black Freitag angekommen.

Ledger Nano und Ledger Unplugged...

 

Erster Eindruck: SUPER

 

Alles in Schrumpffolie verpackt und dann jedes einzelne Stück auch noch mal exklusiv in einer extra Packung. :D

 

Begeistert wollte ich gleich mal die App vom Ledger Wallet installieren...

 

Aber ein Blick auf die Rechte werfen doch Fragen auf!

 

Kamera - Okay für den QR Code lesen.

 

Identität - Bitte warum das denn? :angry:

 

Im Begleittext wird was vom einer Push-Benachrichtigung für Transaktionen geschrieben.

Wie? Reicht da nicht der öffentliche Schlüssel aus, um alle Transaktionen bestens zu verarbeiten.

 

Warum müssen DIE nun noch wissen, dass ich Hugo Müller bin, mit meiner Telefonnummer etc.??? :unsure:

 

Hat einer eine gute Erklärung dafür?

 

Axiom

 

PS: Ein Bild sagt mehr als tausend Worte: https://dl.dropboxusercontent.com/u/64416897/coinforum/LedgerWalletRechte.png

Bearbeitet von Axiom0815
  • Love it 5
Link zu diesem Kommentar
Auf anderen Seiten teilen

Für das Smartphone? Apps verlangen doch ständig Rechte für Sachen, die die nicht benötigen und auch nichts angehen. Das wird auch nicht mehr hinterfragt. Man lässt aus Bequemlichkeit einfach gewähren.

 

Ja, allgemein ist das so. Aber ich schau schon mal.

Gerade wenn es sensible wird. Morgen sind die Bitcoiner die Bösen. und dann?

Siehe  Freitag, den 13. Oktober 1307. Templer auf den Scheiterhaufen, Vermögen an die Krone.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nun man muss klar sagen, dass man zwischen Unvermögen oder Böswilligkeit beim Programmierer unterscheiden muss.

Manche schalten alles auf ON und freuen sich, dass es funktioniert. Da hat auch jeder Adminrechte in der Firma und eine Firewall kennt man nicht.

 

Aber es gibt auch die bösen Buben, die irgendwelche Spiele oder Sexy-Apps verteilen und im Hintergrund tut die App was ganz anderes. Datenklau ist ja da noch "nett".

 

Bei Ledger unterstelle ich mal einfach, die wissen was sie tun. Wer mit Kryptografie Werbung macht, sollte etwas bedachter mit der Sicherheit umgehen.

 

Wenn sich solche Leute Rechte holen, frage ich mich immer warum?

Meine Identität ist für die Funktion mit Bitcoin unwichtig. Im Gegenteil, Bitcoin ist ein Zahlungsvariante um den ganzen Daten sammeln entgegen zu wirken.

Die "letzte Sau die durchs Dorf getrieben wurde" war so ein Dating-Portal.

Wenn meine Daten erst mal weg sind, habe ich kein Einfluss mehr darauf, was damit geschieht. Inklusive dem Diebstahl durch Hacker.

 

Also was soll das Ledger?

Wofür wird das gebraucht? Macht die Kamera womöglich auch noch ein Foto von mir bei der Benutzung? :angry:

 

Hier muss Ledger schnell nachbessern, wenn es nicht in Verruf kommen will.

 

Und wie gesagt, ich bin kein Tester, sondern habe brav bezahlt für die Technik.

 

Axiom

 

PS: manche Sachen nachbessern und Ledger kann eine gute, empfehlenswerte Alternative werden. Die Richtung stimmt schon mal...

Aber bitte nicht selbst ins Knie schießen!

Bearbeitet von Axiom0815
  • Love it 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

@axi

 

hast du dich bereits beim hersteller drüber beschwert oder nur hier im forum?

 

Nein, ich habe mich beim Hersteller noch nicht beschwert.

 

Zwei Gründe:

  1. Ich will erst mal mir weiter den Nano ansehen und beide testen.
  2. Bin ich vorsichtig, Leuten direkt ihre Geheimnisse um die Ohren zu hauen. Das macht keine Freunde. :angry:

Und ich möchte verstehen, warum manche Sachen gemacht werden. Kann ja einen guten Grund geben.

Ich bin guter Dinge, auch eine Lösung für "sicherheitsbewuste" Anwender zu suchen.

 

Axiom

 

PS: kann auch kein Französisch. :(

Bearbeitet von Axiom0815
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hatte mir eigendlich vorgenommen den Ledger Unplugged zu kaufen, da wir das System evtl. in eine Kassenlösung einbauen wollten.

 

Da aber die App auf Windows-, Linuxsystemen und Macs ausschließlich mit Google Chrome funktioniert waren wir schon skeptisch. Deine Posts hier bestätigen uns, Ledger nicht anzufassen.

 

Das solche Massnahmen durch lasches Programmierverhalten entstehen halten wir für sehr unwahrscheinlich. Das Unternehmen weis genau was es macht. Die erfassten und abgefassten Daten unterliegen französischem Recht.

 

Ein Terrorangriff genügt um schnell mal den Datenschutz auszudünnen. Es wird sicher nicht der letzte Angriff in Frankreich und Europa gewesen sein.

 

Ich persönlich gebe Ledger keine große Zukunft. Das Vertrauen ist vom Start weg verspielt. Daher werde ich es auch nicht empfehlen - sondern abraten.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich hatte mir eigendlich vorgenommen den Ledger Unplugged zu kaufen, da wir das System evtl. in eine Kassenlösung einbauen wollten.

 

Da aber die App auf Windows-, Linuxsystemen und Macs ausschließlich mit Google Chrome funktioniert waren wir schon skeptisch. Deine Posts hier bestätigen uns, Ledger nicht anzufassen.

 

Das solche Massnahmen durch lasches Programmierverhalten entstehen halten wir für sehr unwahrscheinlich. Das Unternehmen weis genau was es macht. Die erfassten und abgefassten Daten unterliegen französischem Recht.

 

Ein Terrorangriff genügt um schnell mal den Datenschutz auszudünnen. Es wird sicher nicht der letzte Angriff in Frankreich und Europa gewesen sein.

 

Ich persönlich gebe Ledger keine große Zukunft. Das Vertrauen ist vom Start weg verspielt. Daher werde ich es auch nicht empfehlen - sondern abraten.

 

Nun, bis jetzt ist es ja nur eine Fragestellung, warum?

 

Google Chrom - da klingelt es auch bei mir. Aber hier wird eine Lösung angeboten, den Ledger Nano in einer sicheren Umgebung zu installieren.

Dann nicht mit Chrom, sondern einer anderen Lösung, z.B. Electrum (?) könnte eine Lösung sein.

 

Bei der NFC-Karte muss man wohl ein anderen Weg gehen. Die App auf ein offline Handy installieren und dann weiter machen. Das muss ich aber erst mal testen. Wenn ja, kann man es mit Mycelium nutzen. Das sieht erst mal nicht schlecht aus. :)

 

Ich habe auch schon eine Ahnung, warum man nach Hause telefoniert. *Begründung*

Es ist das Pairing https://www.youtube.com/watch?v=LyvfcC1tBjI.

Da muss ein dritter, fester Punkt vermitteln. Das wird Paris sein! :(

Nur brauch man da nicht meine Identität für. Eine beliebige Zufallszahl reicht aus, oder man nimmt den Master Public Key.

 

Pairing ist bestimmt der Luxus.

Aber warum über das Internet mit nach Hause telefonieren? Bluetooth hätte das genau so gut gekonnt. Was vermuten lässt, dass da mehr dahinter steckt. :(

 

Meinung: Auf Pairing kann man verzichten, wenn es die Sicherheit unterläuft!

 

Ich will mir erst mal ein Bild von alle dem machen. Das für und wider. :wacko:

Man könnte ja damit leben, auf die "Extras" zu verzichten und die Hardware Wallet wirklich nur lokal zu nutzen.

 

Was da telefoniert wird, wird schwer raus zubekommen sein. Aber vielleicht reicht schon das wohin, um manche Fragen zu klären.

 

Selbst wenn es von den Jungs nicht böse gemeint ist, ist es unmöglich über das Internet, wo bekanntlich alle mit sniffern, zu gehen.

 

Wenn ich mit den Test fertig bin, gebe ich Feedback. Pluspunkte und eventuelle Minuspunkte.

Und wenn möglich, wie man negative Ansätze umschifft.

 

Und ganz klar, in den Zeiten wo die Überwachung massiv, unter traurigen Begründungen, weiter zunimmt, gilt alles ein wenig kritischer zu sehen.

Zumal Bitcoin ja sowieso schon ein Dorn in machen Auge ist. ^_^

 

Axiom

 

PS: Trotzdem, was mit der Post ankommt, macht ein super Eindruck. Die Ideen sind gut. Vielleicht kann man den Jungs mal klar machen, das ihr Offices 1-2-nix zum Feindesland werden kann, wenn gewaltsam dort, von wem auch immer, einmarschiert wird. Sicher heißt, auch unter diesen Umständen darf es keine Sicherheitsdefizite geben!!!

  • Love it 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

Es wird nicht viel staatlichen Druck brauchen um an die Daten zu kommen. Bzw. die Daten an ein "Mutterunternehmen" legal weiterzureichen. Ledger ist eine Société par Actions Simplifiée (SAS), die vereinfachte Aktiengesellschaft.

 

Die Société par Actions Simplifiée ist eine Kapitalgesellschaft, deren Grundkapital in Aktien zerlegt wird. Sie benötigt zur Gründung mindestens 2 Gesellschafter, die sowohl natürliche als auch juristische Personen sein können und deren Haftung sich lediglich auf die jeweilige Einlage erstreckt.

Das Gesellschaftskapital ist in der Satzung frei bestimmbar, d.h. es existiert kein gesetzlich vorgeschriebener Mindestbetrag. Faktisch bedeutet dies, dass die Möglichkeit besteht, das Unternehmen mit einem sogenannten Minikapital von nur 1 Euro zu gründen. Bei Ledger sind es nach eigenen Angaben 662398 EUR.

Die Satzung des Unternehmens ist in schriftlicher Form niederzulegen; eine notarielle Beurkundung ist nicht notwendig. In Ermangelung gesetzlicher Bestimmungen zu etwaigen (Pflicht-) Angaben muss jedoch das Augenmerk insbesondere auf die einzelnen Festlegungen innerhalb des Gesellschaftsvertrages bzw. auf die konkrete Ausgestaltung der Satzung gerichtet werden.

 

Das Einzusehen wäre interessant. Theoretisch kann die Firma nur ein Tochterunternehmen eines der Gesellschafter sein.
 

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

äh, hört sich sehr Smartphone speziell an. Mich als wohl einer der letzter Symbian User kann das ja schnuppe sein aber was wird mit dem AddOn für Chromium am PC sein?

Ich warte gerade auf den bestellten HW.1 und USB Boot Stick. Wollte eigentlich erst mal denen ihre eigene Wallet nutzen im Chromium mit AddOn von Ledger.

Na, ja warten wir es ab vielleicht kannst du ja noch näheres raus finden. Würde mich auch interessieren was die Leute von Ledger dazu sagen. Na ja auf jeden Fall ist das nicht schön eher schon bedenklich.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Vorweg: ich will die Leute nicht in Schutz nehmen, da ich nicht weiß, was sie mit den Daten anstellen,

aber:

soweit ich weiß, ist die Identität bei Android Apps z.B. dafür wichtig, dass auf Geräten mit mehreren Usern die App dei User unterscheiden kann. Finde ich auch nicht schlecht, dass ein Gast-Account auf meinem Tablet nicht an meine Bitcoins kommt!

 

Bei den Kontakten könnte ich mir eine Btc-Adresse-Kontakt-Verknüpfung vorstellen. Vereinfachung halt.

 

Die Frage ist eben was sie mit den Daten machen. Da müsste man sie direkt anschreiben, ansonsten kann man nur Spekulieren.

  • Love it 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

Jepp, heute ist der HW.1 und der Boot Stick angekommen. Der Boot Stick wollte nicht booten, nach Eingabe des Begriffs "Starter Kit" auf der Support Seite von Ledger konnte ich sehen dass es da ein ISO file zum Download gibt das man dann mit UNetbootin ganz normal auf einen USB Stick bringen kann. Also Download gemacht, mit UNetbootin auf den Stick jetzt bootet das Ding auch. Es waren allerdings vorher auch schon Dateien auf dem Stick, anyway jetzt tut das. Wenn der Klebstoff durchgetrocknet ist werde ich den HW.1 auch mal initialisieren. Zur Info der HW.1 ist die "Billigausgabe" des Nano, einfach eine Plastikkarte wo man den Stick herausbrechen muss um dann eine Plastik Teil umzuklappen und einzuklippsen. Nur das mit dem einklippsen war nicht deshalb habe ich das jetzt verklebt. Ist ja nur damit das Ding mechanisch dick genug ist um nicht aus der USB Buchse herauszufallen.

 

P.S.: Wenn ich gewusst hätte dass es dieses ISO file gibt um den Boot Stick selbst zu erstellen hätte ich mir den Stick sparen können ok mit 5 EURO war das Ding jetzt nicht teuer aber trotzdem war unnötig  :(

Bearbeitet von Gärtner
  • Love it 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

Hier der download link: http://support.ledgerwallet.com/knowledge_base/topics/how-to-initialize-my-ledger-wallet-on-an-air-gap für das ISO file. Da der Kleber nicht wirklich gehalten hat muss ich es nochmal verkleben diesmal sollte es halten dann werde ich den HW.1 eben morgen initialisieren. Ganz schönes "Gefummel" diese "Billigausführung" des Nano Sticks ich hätte besser den "echten" Nano Stick genommen. Aber so ist das halt "hinterher ist man oft schlauer".

  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Vorweg: ich will die Leute nicht in Schutz nehmen, da ich nicht weiß, was sie mit den Daten anstellen,

aber:

soweit ich weiß, ist die Identität bei Android Apps z.B. dafür wichtig, dass auf Geräten mit mehreren Usern die App dei User unterscheiden kann. Finde ich auch nicht schlecht, dass ein Gast-Account auf meinem Tablet nicht an meine Bitcoins kommt!

 

Bei den Kontakten könnte ich mir eine Btc-Adresse-Kontakt-Verknüpfung vorstellen. Vereinfachung halt.

 

Die Frage ist eben was sie mit den Daten machen. Da müsste man sie direkt anschreiben, ansonsten kann man nur Spekulieren.

 

Ich will ja auch objektiv sein, doch hier glaube ich dies nicht!

Der App kann nur die Ledger Unplugged (NFC-Card) "konfigurieren", was heißt eine neue Wallet einrichten oder wiederherstellen.

Zum eigentlichen benutzen muss man fremde Anbieter wie Mycelium nutzen.

Oder eben für Pairing...

 

In soweit ist Deine Idee gut, aber hier passt es nicht. :(

Link zu diesem Kommentar
Auf anderen Seiten teilen

Jepp, heute ist der HW.1 und der Boot Stick angekommen. Der Boot Stick wollte nicht booten, nach Eingabe des Begriffs "Starter Kit" auf der Support Seite von Ledger konnte ich sehen dass es da ein ISO file zum Download gibt das man dann mit UNetbootin ganz normal auf einen USB Stick bringen kann. Also Download gemacht, mit UNetbootin auf den Stick jetzt bootet das Ding auch. Es waren allerdings vorher auch schon Dateien auf dem Stick, anyway jetzt tut das. Wenn der Klebstoff durchgetrocknet ist werde ich den HW.1 auch mal initialisieren. Zur Info der HW.1 ist die "Billigausgabe" des Nano, einfach eine Plastikkarte wo man den Stick herausbrechen muss um dann eine Plastik Teil umzuklappen und einzuklippsen. Nur das mit dem einklippsen war nicht deshalb habe ich das jetzt verklebt. Ist ja nur damit das Ding mechanisch dick genug ist um nicht aus der USB Buchse herauszufallen.

 

P.S.: Wenn ich gewusst hätte dass es dieses ISO file gibt um den Boot Stick selbst zu erstellen hätte ich mir den Stick sparen können ok mit 5 EURO war das Ding jetzt nicht teuer aber trotzdem war unnötig  :(

 

Was heißt hier billig?

 

Alle Teile von Ledger sind sau exklusiv verpackt. Beim ersten Auspacken kommt Freude auf.

An billig denkt man da nicht.

 

Ja ein Link auf der Seite, den man schneller findet, hätte mir auch 5 Euro erspart. *was soll's* :wacko:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Was heißt hier billig?

 

sorry wenn ich mich missverständlich ausgedrückt habe. Der HW.1 ( oder jedes andere Ledger Produkt ) wirkt auf mich nicht billig nur ist halt der HW.1 im Vergleich zum Nano eine kostengünstigere Variante.

 

So meinte ich das deshalb auch in Anführungszeichen  ;)

 

Alle Teile von Ledger sind sau exklusiv verpackt. Beim ersten Auspacken kommt Freude auf.

 

Beim ersten auspacken auf jeden Fall  :D

 

Ja ein Link auf der Seite, den man schneller findet, hätte mir auch 5 Euro erspart. *was soll's* :wacko:

 

Da bin ich selber "Schuld" steht ja schon lesbar auf der Seite von Ledger nur halt nicht ganz "oben"  :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

So, meine Lösung:

 

  • erzeugen einer echten physikalischen Zufallszahl extern :wub:
  • Umwandlung in Mnemonic Code (check öffentlicher und privater Schlüssel.)
  • Ledger Nano in einer sicheren (offline) Umgebung die Wallet wiederherstellen mit Mnemonic Code
  • Einrichten des Nano Wallet auf Mycelium (Handy) und Electrum (PC)
  • Test ... :D
  • Ledger unplugged die Wallet wiederherstellen mit Mnemonic Code (andere Zufallszahl)
  • Einrichten des Nano Wallet auf Mycelium (Handy)
  • Einrichten einer Watch-online Wallet auf Electrum (PC) :rolleyes:
  • Test ... :D

Hinweis:

 

So wie ich mit den "Master public Key" eine Watch-online Wallet auf Electrum erzeugt habe, ist es auch jedem anderen möglich.

Wenn also die Wallet-Software die Identität (Handy als Recht, PC im Chrom) und im Chrom App sogar die Region erfragt, werde ich vorsichtig.

Lustig: In der Region-Menue wird Deutschland nicht angeboten. https://dl.dropboxusercontent.com/u/64416897/coinforum/LedgerWalletRegion.png  :wacko:

 

Die Lösung mit der NFC-Card gefällt mir mobil am besten!

Kein gefummle mit USB Adapter und Nano.

 

Ich kann jederzeit die einzelnen privaten Schlüssel wiederherstellen. (Das wird Maximal freuen. ;) )

 

Ledger ist eine innovative Hardware-Wallet, die auch im Design erfreut.

Die dazu angebotenen Software aus eigenen Hause, ist optisch auch super, aber würft Fragen auf.

Das nach Hause telefonieren wird nicht verschwiegen auf der Homepage.

Zukünftig sind mit der Ledger unplugged Karte auch direkte Zahlungen an ein POS Terminal usw. (über Paris) vorstellbar.

 

Doch habe ich hier eine andere Vorstellung. Bitcoin ist für mich dezentral und ohne Verknüpfung zur Identität.

Nur so wird der Bitcoin weiter nicht angreifbar bleiben.

 

Axiom

Bearbeitet von Axiom0815
  • Love it 3
Link zu diesem Kommentar
Auf anderen Seiten teilen

danke Axiom für dein Engagement in dieser Sache :)

 

Ich habe jetzt meinen HW.1 mit Sekundenkleber gangbar gemacht d.h. umgeklappt und angeklebt. Unter Windows ( VM ) funktioniert der Stick auch nach dem Initialisieren mit Hilfe des Boot Sticks ( airgab ) unter Linux müsste ich noch die UDEV Regeln ändern. Weil ich beim support auch etwas gelesen hatte was Richtung firmeware update geht hatte ich unter Linux zuerst gedacht es liegt eventuell an der Firmware des Sticks dass dieser im Moment unter Linux nicht erkannt wird habe deshalb auch zwei benötigte AddOns zum firmeware update installiert in Chromium die Berechtigungen denen man bei der einen von den beiden AddOns zustimmen muss gehen wirklich zu weit, sinngemäß so etwas wie "erlaube alles was das AddOn möchte". War eh` ein "Holzweg" das mit der Firmware ist nicht nötig werde die zwei AddOns wieder deinstallieren. Na ja mein Eindruck von diesem Ledger Produkt ist etwas gemischt.

 

Wenn ich so ein Produkt kaufe möchte ich eigentlich nicht noch darüber nachdenken müssen wie das mit der Sicherheit so ist ( danke Axiom ! ) und eigentlich möchte ich es einfach so haben:

 

"plug & play".

Bearbeitet von Gärtner
  • Love it 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.