Ein Sicherheitsforscher hat eine Sicherheitslücke im Ledger Nano S gefunden, allerdings muss der Angreifer dafür im Besitz des Ledger Nano S sein. Ein Update der Firmware reduziert das Risiko allerdings erheblich. Wir verraten euch wie ihr dieses durchführen könnt.
Der Sicherheitsforscher Saleem Rashid hat auf seinem Blog gezeigt, wie er in der Lage ist die Recovery Seed des Ledger Nano S zu verändern. Mit der Recovery Seed bekommt er Zugang zu allen Private Keys, die auf dem Ledger Nano S gespeichert sind und damit natürlich auch zu allen Guthaben. Im schlimmsten Fall kann ein Nutzer also sein komplettes Guthaben verlieren.
Der Angreifer muss dafür aber im Besitz des Ledger Nano S sein. Das ist also nur dann eine Gefahr, wenn ihr das Hardware Wallet nicht beim Hersteller direkt gekauft habt sondern zum Beispiel gebraucht auf ebay. Wenn ihr den Ledger Nano S neu gekauft habt (direkt bei Ledger) seid ihr keiner weiteren Gefahr ausgesetzt. Trotzdem macht es Sinn auf die vor kurzem veröffentlichte neue Firmware zu updaten.
Die neue Firmware ist die Version 1.4.1. Folgende Schritte müsst ihr zum Updaten machen.
1. Verbindet euren Ledger Nano S mit dem Computer und öffnet den Ledger Manager. Anschließend wurde bei mir im Ledger Manager schon angezeigt, dass ein Update der Firmware verfügbar ist.
2. Da ihr etwas Platz braucht beim Installieren des Updates, müsst ihr alle Apps bis auf Bitcoin auf dem Ledger Nano S löschen. Ich hatte es zunächst probiert ohne die Apps zu löschen, dabei ging das Update dann aber schief. Wichtig zu wissen ist dazu, dass ihr mit dem löschen der Apps nicht die Private Keys verliert. Also wenn ihr beispielsweise die Ripple App (gilt auch für jede andere App) löscht und anschließend wieder neu installiert, dann sind die Guthaben immer noch da.
3. Nach dem löschen der Apps könnt ihr das Update einfach starten im Ledger Manager. Das Update müsst ihr dann noch auf dem Ledger Nano S bestätigen.
4. Danach erscheint die Meldung auf dem Ledger Nano S, dass die MCU Firmware „outdated“ ist. Um diese zu updaten müsst ihr die Verbindung zwischen dem Computer und dem Ledger Nano S trennen. Anschließend müsst ihr die Verbindung wieder neu herstellen. Wenn ihr dabei das Kabel wieder in den Ledger Nano S steckt, müsst ihr gleichzeitig den Knopf, der näher am USB Kabel ist, 5 Sekunden lang gedrückt halten. Das war es dann aber auch schon, ihr müsst dann nur noch einmal das MCU Update auf dem Ledger Nano S bestätigen.
5. Die Installation erfolgt dann automatisch.
6. Nach abgeschlossener Installation könnt ihr auf dem Ledger Nano S unter Settings -> Device -> Firmware nachschauen welche Version ihr installiert habt. Da sollte jetzt 1.4.1 stehen. Im Ledger Manager auf dem Computer unter Firmware wird euch auch angezeigt, ob ihr in der richtigen Version seid.
7. Nachdem alle vorangegangenen Schritte fertig sind, könnt ihr auch eure Apps wie Ethereum, Ripple etc. wieder installieren.
Wer noch keinen Ledger Nano S hat, kann ihn direkt hier bei Ledger bestellen.
