Einerseits ermöglicht die Aktualisierbarkeit von Firmware die Behebung von Fehlern und das Hinzufügen neuer Funktionen, andererseits hat aktualisierbare Firmware erhebliche Nachteile in Bezug auf Sicherheit und Vertrauen. Hier sind die wichtigsten probleme:
Insider-Angriffe: Ein böswilliger Insider im Unternehmen (z. B. ein Entwickler mit Zugang zum Firmware-Code) könnte absichtlich eine Hintertür oder Schwachstelle in das Update einbauen. Dies könnte zur persönlichen Bereicherung, aus politischen Gründen oder unter externem Druck geschehen.
Social Engineering: Angreifer könnten Social-Engineering-Methoden einsetzen, um Unternehmensmitarbeiter dazu zu bringen, den Code zu ändern oder Zugang zu den Aktualisierungssystemen zu gewähren.
Nötigung von Mitarbeitern: In einigen Ländern könnten Gesetze oder Regulierungsbehörden ein Unternehmen dazu zwingen, Fernzugriffs- oder Firmware-Kontrollfunktionen zu implementieren, indem sie wichtige Mitarbeiter bedrohen. Mitarbeiter könnten auch direkt von Hackern, kriminellen Gruppen oder sogar staatlichen Akteuren unter Druck gesetzt werden, Hintertüren oder Schwachstellen einzubauen.
Mangelnde Qualitätskontrolle: Wenn der Entwicklungs- und Testprozess für Updates nicht streng genug ist, können zufällige Fehler unbemerkt bleiben. Diese Fehler können zu Schwachstellen werden, die von Angreifern ausgenutzt werden können.
Keine unabhängige Prüfung für jede Version: Die Prüfung von Firmware ist ein Prozess der Überprüfung von Quellcode, Architektur und Entwicklungsmethoden durch eine unabhängige Partei, die nicht mit dem Gerätehersteller verbunden ist. Das Ziel des Audits ist es:
Schwachstellen zu identifizieren,
das Fehlen von Hintertüren zu überprüfen,
die Qualität der kryptografischen Algorithmen zu bewerten und
Bestätigung der Einhaltung von Sicherheitsstandards der Branche.
Unternehmen, die aktualisierbare Firmware herstellen, bringen häufig neue Versionen mit kleineren Korrekturen oder Funktionen heraus.
Die Durchführung von Audits für jede Aktualisierung erfordert erhebliche zeitliche und finanzielle Ressourcen, die für die meisten Unternehmen nicht realisierbar sind. Infolgedessen können Updates ohne vorherige Prüfung durch unabhängige Experten freigegeben werden.
Ohne unabhängige Validierung können die Nutzer nicht sicher sein, dass die neue Version frei von Hintertüren oder kritischen Fehlern ist. Updates können Fehler enthalten, die das Gerät anfällig für Angriffe machen, z. B. durch unsachgemäß implementierte Kryptographie oder Schwachstellen in der Datenverarbeitung und -speicherung.
Echte Fälle
Ledger (2020): Im Jahr 2020 wurde eine Schwachstelle in Ledger-Hardware-Wallets entdeckt, die mit der Transaktionsverarbeitung für von Bitcoin abgeleitete Kryptowährungen wie Litecoin und Dogecoin zusammenhing. Diese Schwachstelle ermöglichte es Angreifern, Transaktionen zu erstellen, bei denen nach Angaben des Nutzers Altcoins gesendet wurden, während die Gelder in Wirklichkeit in Bitcoin abgezogen wurden. Quelle.
OneKey (2023): Anfang 2023 entdeckten White-Hat-Hacker eine Schwachstelle in der Firmware der OneKey-Wallets, die es ermöglichte, sie innerhalb einer Sekunde zu hacken. Das OneKey-Team hat die Schwachstelle umgehend behoben und erklärt, dass keine Nutzer betroffen waren. Quelle.
Vorteile von fester (nicht aktualisierbarer) Firmware
Nicht aktualisierbare Firmware in Hardware-Geldbörsen bietet eindeutige Vorteile, vor allem in Bezug auf die erhöhte Sicherheit und das Vertrauen der Benutzer:
Kein risiko von eingriffen: Sobald das Gerät freigegeben ist, ist die Firmware fest und kann nicht verändert werden. Dies schließt die Möglichkeit aus, dass versteckte Hintertüren vom Hersteller oder von Angreifern eingeführt werden. Außerdem wird das Risiko des Auftretens neuer Schwachstellen minimiert, da der Code unverändert bleibt.
Keine erzwungenen updates: Im Gegensatz zu aktualisierbarer Firmware kann der Hersteller die Benutzer nicht dazu zwingen, potenziell gefährliche Updates zu installieren.
Einmaliges audit: Die Firmware kann von unabhängigen Experten überprüft und zertifiziert werden, bevor das Gerät freigegeben wird. Die Nutzer können sich dann auf ihre Zuverlässigkeit verlassen. Feste Firmware schafft zusätzliches Vertrauen, da die Prüfung einmal durchgeführt wird und die Nutzer wissen, dass sich der Code nicht ändern wird.
Überprüfung der firmware-integrität: Einige Hersteller von Hardware-Geldbörsen ermöglichen es den Nutzern, die Authentizität der Firmware unabhängig zu überprüfen und zu bestätigen, dass sie den Versionen entspricht, die unabhängige Prüfungen bestanden haben.
Zusammenfassend lässt sich sagen, dass die Aktualisierbarkeit der Firmware zwar Flexibilität bietet, die Sicherheitsrisiken und Vertrauensbedenken jedoch häufig die Vorteile überwiegen. Eine feste Firmware in Verbindung mit gründlichen unabhängigen Prüfungen ist eine solide Alternative, um die langfristige Sicherheit der Nutzergelder zu gewährleisten.
