Ledger entdeckt Sicherheitslücken in den Modellen Trezor Safe 3 und Safe 5

Laut einem Bericht von Ledger, der am 12. März veröffentlicht wurde, weisen die neuesten Hardware-Wallets von Trezor, Safe 3 und Safe 5, einige gravierende Sicherheitsprobleme auf.

In dem Bericht heißt es, dass das Sicherheitsforschungsteam von Ledger Donjon festgestellt habe, dass diese Geräte eine Menge Schwachstellen in ihren Mikrocontrollern aufwiesen, die es Hackern ermöglichen könnten, aus der Ferne Zugriff auf die Gelder der Benutzer zu erlangen.

Die Mängel bestehen trotz Trezors Upgrade auf ein Zwei-Chip-Design mit einem EAL6+-zertifizierten Secure Element. Obwohl das Secure Element PINs und private Schlüssel schützt, zeigt der Bericht von Ledger, dass alle kryptografischen Operationen weiterhin auf dem Mikrocontroller ausgeführt werden, der anfällig für Spannungsschwankungen ist.

Wird diese Sicherheitslücke ausgenutzt, könnte ein Angreifer kryptografische Geheimnissetrac, die Firmware modifizieren und Sicherheitsprüfungen umgehen, wodurch die Gelder der Benutzer gefährdet wären.

Das neue Sicherheitskonzept von Trezor bietet keinen Schutz für kritische Abläufe

Trezor brachte Ende 2023 das Safe 3 auf den Markt, gefolgt vom Safe 5 Mitte 2024. Beide Wallets verfügten über ein verbessertes Zwei-Chip-Design, um sich von der in älteren Trezor-Modellen verwendeten Ein-Chip-Architektur zu lösen.

Das Upgrade umfasste auch ein Optiga Trust M Secure Element von Infineon, einen dedizierten Sicherheitschip zur Speicherung von PINs und kryptografischen Geheimnissen.

Laut den Erkenntnissen von Ledger verhindert dieses Secure Element den Zugriff auf sensible Daten, sofern nicht die korrekte PIN eingegeben wird. Es blockiert außerdem Hardwareangriffe wie Spannungsschwankungen, die zuvor verwendet wurden, umtracSeed-Phrasen von Modellen wie Trezor One und Trezor T

Doch trotz dieser Verbesserungen zeigen die Untersuchungen von Ledger Donjon, dass die wichtigsten kryptografischen Funktionen – einschließlich der Transaktionssignierung – immer noch auf dem Mikrocontroller ausgeführt werden, was nach wie vor eine große Sicherheitslücke darstellt.

Der im Safe 3 und Safe 5 verwendete Mikrocontroller trägt die Bezeichnung TRZ32F429 und ist in Wirklichkeit ein kundenspezifisch verpackter STM32F429-Chip.

Dieser Chip weist bekannte Schwachstellen auf, insbesondere solche, die durch Spannungsstörungen ausgenutzt werden können und Angreifern vollen Lese-/Schreibzugriff auf den Flash-Speicher ermöglichen.

Sobald ein Angreifer die Firmware verändert hat, kann er die Entropieerzeugung manipulieren, die eine Schlüsselrolle für die kryptografische Sicherheit spielt. Dies könnte zum Diebstahl privater Schlüssel aus der Ferne führen und Hackern somit uneingeschränkten Zugriff auf die Gelder der Nutzer ermöglichen.

Das Authentifizierungssystem konnte die Integrität des Mikrocontrollers nicht überprüfen

Trezor verwendet kryptografische Authentifizierung zur Überprüfung seiner Geräte, doch Ledger Donjon stellte fest, dass dieses System die Firmware des Mikrocontrollers nicht überprüft.

Das Optiga Trust M Secure Element generiert während der Produktion ein öffentliches/privates Schlüsselpaar. Trezor signiert den öffentlichen Schlüssel und bettet ihn in ein Zertifikat ein. Sobald ein Benutzer seine Wallet verbindet, sendet die Trezor Suite eine zufällige Herausforderung, die das Gerät mit seinem privaten Schlüssel signieren muss. Ist die Signatur gültig, gilt das Gerät als authentisch.

Die Untersuchungen von Ledger zeigen jedoch, dass bei diesem Verfahren nur das Secure Element überprüft wird, nicht aber der Mikrocontroller oder dessen Firmware.

Trezor versuchte, das Secure Element und den Mikrocontroller mithilfe eines vorab festgelegten Geheimnisses zu verknüpfen, das während der Herstellung in beide Chips programmiert wird. Das Secure Element reagiert nur dann auf Signaturanfragen, wenn der Mikrocontroller nachweist, dieses Geheimnis zu kennen.

Das Problem? Dieses vorab vereinbarte Geheimnis ist im Flash-Speicher des Mikrocontrollers gespeichert, der anfällig für Spannungsstörungen ist.

Dem Team von Ledger gelang es, das Geheimnis zutrac, den Chip neu zu programmieren und den Authentifizierungsprozess vollständig zu umgehen. Das bedeutet, dass ein Angreifer die Firmware modifizieren und dennoch die Sicherheitsprüfungen von Trezor bestehen könnte.

Ledgers Bericht beschreibt, wie sie eine spezielle Angriffsplatine bauten, die es ihnen ermöglichte, die Lötpads des TRZ32F429 auf Standard-Stiftleisten herauszuführen.

Diese Konfiguration ermöglicht es ihnen, den Mikrocontroller in ihr Angriffssystem einzubauen, das vorab vereinbarte Geheimnis zutracund das Gerät unbemerkt neu zu programmieren.

Nach der Neuprogrammierung würde das Gerät bei Verbindung mit der Trezor Suite weiterhin als legitim erscheinen, da das kryptografische Attestierungssystem unverändert bleibt.

Dadurch entsteht eine gefährliche Situation, in der kompromittierte Trezor Safe 3 und Safe 5 Wallets als Originalgeräte verkauft werden könnten, während sie heimlich bösartige Firmware ausführen, die Benutzergelder stiehlt.

Die Firmware-Validierung wird umgangen, wodurch Benutzer angreifbar sind

Trezor bietet zwar eine Firmware-Integritätsprüfung in der Trezor Suite an, aber Ledger Donjon hat einen Weg gefunden, diesen Schutz vollständig zu umgehen.

Die Firmware-Prüfung funktioniert, indem eine zufällige Abfrage an das Gerät gesendet wird. Dieses berechnet daraufhin einen kryptografischen Hashwert anhand der Abfrage und der Firmware-Version. Die Trezor Suite verifiziert diesen Hashwert anhand einer Datenbank mit authentischen Firmware-Versionen.

Auf den ersten Blick erscheint diese Methode recht effektiv – ein Angreifer kann nicht einfach einen gefälschten Hash fest codieren, da er die zufällige Herausforderung nicht im Voraus kennt. Daher muss das Gerät den Hash in Echtzeit berechnen und beweist damit, dass es mit echter Firmware läuft.

Ledger Donjon entdeckte jedoch einen Weg, diesen Schutz vollständig zu umgehen. Da der Mikrocontroller diese Berechnung durchführt, kann ein Angreifer dessen Firmware so modifizieren, dass sie eine gültige Antwort vortäuscht.

Durch Manipulation der Hash-Berechnung des Geräts kann ein Angreifer jede beliebige Firmware-Version als authentisch erscheinen lassen. Dies ist ein gravierendes Problem, da Angreifer so modifizierte Software ausführen können, ohne dass diese die Verifizierungsprüfungen der Trezor Suite durchbricht.

Als Folge davon könnte ein kompromittierter Trezor Safe 3 oder Safe 5 weiterhin legitim erscheinen, während er heimlich private Schlüssel preisgibt oder Transaktionsdaten verändert.

Ledgers Bericht kommt zu dem Schluss, dass die einzige Möglichkeit, die Safe 3 und Safe 5 vollständig abzusichern, darin bestünde, den Mikrocontroller durch eine sicherere Alternative zu ersetzen. Die Trezor Safe 5 verwendet mit dem STM32U5 einen moderneren Mikrocontroller, für den – zumindest derzeit – keine öffentlich bekannten Fehlerinjektionsangriffe vorliegen.

Da es sich aber immer noch um einen Standard-Mikrocontroller und nicht um ein dediziertes Secure Element handelt, besteht weiterhin das Risiko, dass neue Angriffsmethoden entdeckt werden könnten.

Trezor hat die Sicherheitslücken zwar bereits geschlossen, die zugrundeliegenden Sicherheitsbedenken bleiben jedoch bestehen. Solange der Mikrocontroller selbst nicht vollständig gesichert ist, müssen Nutzer auf die Software-Schutzmechanismen von Trezor vertrauen, die laut den Untersuchungen von Ledger Donjon bereits umgangen werden können.