Neu: Firmware-Update 1.4.1 für Nano S erhältlich
Geposted von Marc Schwitter am
Neue Funktionen, neue UX-Eigenschaften, und das Beste: Mit der Firmware 1.4 (erhältlich als 1.4.1) lassen sich viel mehr Applikationen auf der Ledger Nano S installieren.
Wir empfehlen allen Nutzern, ihre Ledger Nano S mit diesen Schritten (englisch) jetzt zu aktualisieren.
Wichtig: Auf Reddit und Twitter findet man Behauptungen, dass kritische Sicherheitslücken bezüglich der Nano S gefunden wurden. Das ist nicht korrekt. Die gefundenen Probleme sind ernst zu nehmen (deshalb empfehlen wir das Update), aber NICHT kritisch. Guthaben sind keinem Risiko ausgesetzt und es gibt keinen Beleg dafür, dass unsere Geräte erfolgreich angegriffen worden wären. Anbei mehr technische Details (englisch).
Neue Eigenschaften, die das Nutzererlebnis deutlich erhöhen…
- Upload bis zu 18 Apps möglich (abhängig von der entsprechenden Kryptowährung, siehe FAQ, in englisch). Anmerkung: Das Löschen eine App hat keinen Einfluss auf das Guthaben. Bei der Reinstallation wird der aktuelle Stand wieder hergestellt.
- Anpassung der Bildschirmsperre: Ein langer Druck (3 Sekunden) auf beide Buttons der Nano S aktiviert die Bildschirmsperre.
- Um sicherzustellen, dass der Nutzer die 24 Wörter korrekt gespeichert hat, müssen alle während dem Setup bestätigt werden.
- Schneller dank Cache-Optimierung: Diese und zahlreiche weitere Optimierungen sorgen für ein noch besseres Nutzererlebnis.
…bei gleichzeitig erhöhter Sicherheit.
BOLOS, das Betriebssystem von Ledger, hat sich entwickelt. Unsere letzten Anpassungen:
- Aufteilung der Apps in drei Segmente: Code, Daten und Installations-Parameter. Zwei unterschiedliche Hashes werden berechnet (Code + Daten und Code + Daten + Installations-Parameter). Das ermöglicht dem Benutzer die geladenen Daten auch für jene Apps zu verifizieren, die geheime Daten beinhalten.
- Der U2F-Tunnel wird ab sofort für APDUs unterstützt (im Dashboard und in im SDK). Das ermöglicht die Unterstützung aller Kommunikationsprotokolle mit einer einzigen Schnittstelle, ohne Benutzung der „Browser Support“ Optionen. Der U2F-Tunnel ist sehr praktisch für Schnittstellen zu Web-Applikationen, wie z.B. My Crypto und MyEtherWallet.
- Das SDK bietet neue Optionen, um Memory Pointers sicher zu vergleichen (memcmp).
Der kryptografische Support wurde grosszügig erweitert.
Zahlreiche neue Ellipptic Curves werden neu unterstützt:
- SEC curves (SECP384R1, SECP521R1)
- Brainpool Curves (P256R1, P320T1, P320R1, P384T1, P384R1, P512T1, P512R1)
- ANSSI Curve (FRP256V1)
- Edwards Curves (Ed448)
- Goldilocks’s curve (Curve448)
Die Firmware 1.4 beinhaltet noch weitere Sicherheitsoptimierungen. Die Bedingungen für Apps von Drittanbietern wurden weiterentwickelt. Das standardmässige Management der Certification Authority (CA) ist jetzt auch im Wiederherstellungsmodus verfügbar. Diese Massnahme unerfahrene Nutzer besser vor Malware-Applikationen schützen.
Ledger möchte zwei seiner Security-Researches gratulieren, die erfolgreich Bounties in der Firmware 1.3 gefunden haben. Auch wenn die entsprechenden Stellen nicht kritisch waren und nur unter sehr ungewöhnlichen Umständen zu tragen kamen, sind sie nun in der Firmware 1.4 behoben. Deshalb empfehlen wir, das Update unbedingt zu installieren. Ledger wird über diese Themen bald mehr berichten. Die erfolgreichen Finder werden mit einer Prämie belohnt.
Bounty-Programm (englisch): Ledger motiviert Nutzer, die Sicherheit ihrer Produkte herauszufordern. Wer eine Schwachstelle oder einen Bug entdecken sollte, bekommt gemäss den Richtlinien des Bounty-Programms (englisch) eine Belohnung in Bitcoin.
CHARLES GUILLEMET – Chief Security Officer bei Ledger
Weitere Informationen:
Anleitung zum Update der Ledger Nano S mit Firmware 1.4 (englisch)
FAQ betreffend Firmware 1.4 (englisch)