Pegasus Spyware: Sind meine Kryptos sicher?

Der folgende Artikel fasst den kürzlich vom Ledger Donjon-Team veröffentlichten technischen Blog zusammen. Sie können hier klicken, um es zu lesen (Englisch).

Softwareprogramme, die entwickelt wurden, um unsere persönlichen Geräte zu hacken, werden immer ausgefeilter. Der Spyware-Skandal um Pegasus verdeutlicht die Bedrohung, die diese Software für unsere Technologie und Informationen darstellt.

Spyware hat auch die Aufmerksamkeit der Kryptoindustrie auf sich gezogen, da sich immer mehr Benutzer und Investoren auf Software Wallets verlassen, die auf unsicheren Computern und Smartphones laufen. Digitale Web3-Assets wie Bitcoin oder Ethereum sollten nicht auf Web2-Geräten (Laptops und Smartphones) gespeichert werden. Dieser Artikel erklärt warum.

“Zero-days” & “zero-clicks” spyware verbreitet sich

Im Jahr 2020 enthüllten investigative Reporter, dass Zehntausende von Bürgern, Aktivisten und politischen Führern von Kunden des Spyware-Herstellers NSO Group ins Visier genommen wurden. Vor kurzem wurde die Spyware zu einem wahren diplomatischen Skandal, als bekannt wurde, dass 14 Staats- und Regierungschefs ehemalige Ziele waren, darunter Präsident Macron von Frankreich und König Mohammed V. von Marokko. Die Spyware ermöglichte vollen Zugriff auf ihre Smartphones.

Wie wurde diese Spyware zu einem so heimtückischen Überwachungstool? Einfach wegen einer Mischung aus „Zero-Day“- und „Zero-Click“-Funktionen. Aber was heisst das genau?

Ein „Zero-Day“-Angriff tritt auf, wenn Hacker eine Schwachstelle in einer App oder einem Gerät ausnutzen, die dem Anbieter der Zielsoftware unbekannt sind. Im Fall von Pegasus-Spyware sind die Einstiegspunkte Messaging-Apps (iMessage, WhatsApp, SMS…).

Andererseits nutzt ein „Zero-Click“-Angriff Schwachstellen aus, ohne dass ein Ziel irgendwo klicken muss. Diese Sicherheitslücken gaben dem Angreifer fast vollständigen Zugriff auf die Zielgeräte und deren Daten: Kamera, Mikrofon, Geolokalisierung, Bilder, Gespräche usw.

Ein „Zero-Day-Zero-Click-Angriff“ ist eine Kombination der beiden oben genannten. Schon, besiorgt?

Diese Angriffe schaden auch Ihren digitalen Assets

Leider sind „Zero-Day“- und „Zero-Click“-Angriffe nicht auf Pegasus-Spyware beschränkt. Wenn Sie dachten, Ihre Software-Wallets seien von Natur aus sicher, denken Sie noch einmal darüber nach. Die folgenden Videos zeigen, wie einfach unser Ledger Donjon-Team Smartphones hacken und auf die Seed-Phrasen von MetaMask-, Coinbase- und Blockchain.com-Software-Wallets zugreifen konnte.

Das nächste Video simuliert eine Malware, die das vom Opfer eingegebene Benutzerpasswort stiehlt. Es wird dann verwendet, um die Electrum-Wallet-Daten zu entschlüsseln und den Seed anzuzeigen.

Das folgende Video zeigt Malware, die als gefälschtes Bitcoin-Ticker-Widget getarnt ist. Malware nutzt eine Schwachstelle eines Geräts aus, um den verschlüsselten Seed auf einen Remote-Server zu exfiltrieren. Der Server erzwingt dann das Passwort, um den Seed zu entschlüsseln:

Das nächste Video zeigt einen äquivalenten Vorgang mit einem Coinbase Wallet:

Dieses letzte Video zeigt Spyware, die auf eine Blockchain.com-Wallet abzielt. Sobald sich der Benutzer mit dem Fingerabdruck des Opfers authentifiziert hat, wird der Verschlüsselungsschlüssel entsperrt und die Wallet-Daten werden entschlüsselt:

Insgesamt ist der Vorgang eigentlich recht einfach. Der Hacker sendet Ihnen eine Nachricht, ohne dass Sie benachrichtigt werden. Die Nachricht nutzt eine Schwachstelle aus, die es Angreifern ermöglicht, Ihre App auszuspionieren und Ihre Seed-Phrase über das Internet zu exfiltrieren. Der Hacker sendet dann den Seed zurück an seinen eigenen Computer. Es ist kein Klick erforderlich und es ist, gelinde gesagt, ein bösartiger Exploit.

Und Ihre Krypto? Weg.

Die Lektion ist klar: Legen Sie Ihre digitalen Web3-Assets nicht auf Web2-Geräte wie Laptops und Smartphones ab! Sie sind von Natur aus nicht sicher, was bedeutet, dass sie auf Softwareprogrammen (iOS oder Android) ausgeführt werden, die es Ihnen nicht ermöglichen, Ihre Sachen in einer sicheren Enklave zu lassen.

Warum muss die Sicherheit in Krypto hardwarebasiert sein?

Das Krypto-Universum ist voller Schätze, aber das Abenteuer sollte IMMER sicher sein. Deshalb sind unsere Hardware Wallets, Ledger Nano S und Nano X, die sichersten 

Speicherlösungen für Ihre digitalen Assets:

• Erstens schützen sie Sie vor Malware. Unsere Hardware Wallets sind unabhängige Geräte, die Transaktionen selbstständig signieren. Die kryptografischen privater Schlüssel bleiben immer im Gerät. Sie werden nie an die Anwendung gesendet, mit der sie kommunizieren. Daher werden Ihre Schlüssel offline gehalten, wo Malware nicht darauf zugreifen kann.
• Zweitens verfügen unsere Geräte über einen Bildschirm, mit dem Sie Ihre Aktionen überprüfen können, wenn Sie mit Ihren geheimen Schlüsseln interagieren. Wenn Sie Transaktionen auf einem Mobiltelefon oder Desktop-Computer durchführen, kann Malware auf Ihre Informationen zugreifen oder sogar Ihre Adressen austauschen/ändern. Unsere On-Device-Authentifizierungen sind sehr effiziente Gegenmassnahmen.
  
  

Offline-Schlüssel und Authentifizierungen auf dem Gerät sind wichtige Tools für die vollständige Sicherung digitaler Assets auf Hardwaregeräten.

Fazit:

Da Kryptowährungen immer häufiger werden, werden Angriffe auf Wallets leider immer raffinierter. Bei Ledger möchten wir Ihnen die sicherste Erfahrung bei der Verwaltung Ihrer digitalen Assets bieten.

Original von Ledger.