Ledger Nano S kopplad till Macbook

Dålig säkerhetsdesign i Bitcoin-plånbok

Det finns många olika sätt att spara sin kryptovaluta (t.ex. Bitcoin). Det sämsta sättet är att låta pengarna ligga kvar på webbtjänsten där de köptes. Det bästa sättet är att använda en hårdvaruplånbok, till exempel Ledger Nano S eller Trezor.

Nu sprids nyheten om ett säkerhetsproblem med Ledger Nano S. Om en användares dator är infekterad kan en attackerare, vid överföring av pengar, byta ut adressen som pengarna förs över till. På så sätt kan attackeraren lura användaren att föra över alla pengar till helt fel konto (läs hela rapporten på Docdroid). För att inte riskera överföring av pengar till fel adress rekommenderar skaparna av Ledger att kontrollera mottagarens adress på hårdvaruplånboken display. Detta görs genom att klicka på en knapp (se tweet).

Inte en säkerhetsbugg

Enligt mig är detta ingen säkerhetsbugg. Det är bara dålig säkerhetsdesign. Lägg märke till att datorn måste vara infekterad för att denna attack ska lyckas. Om datorn är infekterad är loppet ändå så gott som kört. Det spelar ingen roll om det handlar om överföring av kryptovaluta eller hantering av lösenord. Om datorn är infekterad kan du aldrig lita på något som du ser på den.

Jag vill samtidigt inte blåsa av nyheten som felaktig kritik mot Ledger. Om de hade haft bra säkerhetdesign hade de tvingat användaren att verifiera mottagaradressen på hårdvaruplånbokens display. Det borde alltså inte vara ett frivilligt steg. Ledger har dessutom inte implementerat motsvarande funktion alla kryptovalutor. Funktionen lyser i dagsläget med sin frånvaro vid överföring av exempelvis Ethereum (världens näststörsta kryptovaluta). Ledger skriver i en tweet att funktionen finns i deras kommande mjukvara.

Rekommendation

Jag rekommenderar fortfarande alla som handlar med kryptovalutor att använda en hårdvaruplånbok. Jag rekommenderar också att de endast utför transaktioner på datorer som är uppdaterade, skyddade av ett säkerhetsprogram (populärt kallat antivirus) och inte innehåller några andra applikationer än de absolut mest nödvändiga.

Lyckliga ägare av enorma belopp rekommenderar jag till och med att dedicera en dator för enbart hantering av kryptovalutor. Den stora fördelen med kryptovalutor är att du blir din egen bank. Det innebär samtidigt att du har ansvaret för allt som händer och att du måste hålla samma säkerhetsnivå som bankerna.

Obs! Just nu är Ledger Nano S slut i lager hos tillverkaren. Den kommer inte in igen förrän i slutet av mars. Du kan inte få tag i någon sådan dessförinnan. Köp aldrig en Ledger Nano S eller annan hårdvaruplånbok från en återförsäljare eller på en marknadsplats. Bedragare har lyckats lura av Bitcoin-ägare sina pengar genom att skicka dem förpreparerade hårdvaruplånböcker. Behöver du en hårdvaruplånbok direkt kan du köpa Trezor som finns i lager.

Nikka Systems har inget samarbete med vare sig Ledger eller Satoshilabs (Trezor). Inga länkar i denna artikel är sponsrade. Jag nämner detta specifikt eftersom båda företagen marknadsför sig via affiliate-program. Nikka Systems har inget vinstintresse av att försvara Ledger eller förespråka användning av hårdvaruplånböcker.

Lämna en kommentar

Fler Bli säker-nyheter

Nyhetsbrev

Få nyheterna från Bli säker-bloggen till din inkorg en gång per vecka. Läs mer.

Följer du oss?