Ledger deckt kritische Sicherheitslücke in Android-Chip auf – Hardware-Wallets im Fokus

Ein verbreiteter Android-Chip hat ein verstecktes Einfallstor – und Ledger hat es gefunden. Die Enthüllung schickt Schockwellen durch die Krypto-Sicherheitslandschaft und stellt grundlegende Annahmen über mobile Geräte in Frage.

Die Achillesferse in der Masse

Die Schwachstelle sitzt tief in der Hardware, nicht in der Software. Sie umgeht gängige Sicherheitsprotokolle und öffnet Hintertüren, die selbst erfahrene Nutzer nicht sehen. Für Hardware-Wallet-Benutzer, die auf Android setzen, ist das eine kalte Dusche – das vermeintlich sichere Fundament zeigt Risse.

Ein Weckruf für die Branche

Ledgers Entdeckung zwingt zu einem härteren Blick auf die gesamte Lieferkette. Wo endet die Verantwortung des Wallet-Herstellers und wo beginnt das Risiko der zugrundeliegenden Hardware? Die Branche muss Antworten finden, die über Marketing-Slogans hinausgehen. Schließlich vertrauen Anleger nicht nur Software, sondern ganzen Ökosystemen – manchmal mit der Naivität, die man sonst nur bei Tradern sieht, die einem Shitcoin nach dem anderen hinterherjagen.

Das Vertrauens-Paradoxon

Jede aufgedeckte Lücke ist ein zweischneidiges Schwert: Sie untergräbt kurzfristig das Vertrauen, zwingt aber langfristig zu robusteren Lösungen. In einem Sektor, der Dezentralisierung predigt, bleibt die Sicherheit oft erstaunlich zentralisiert – in den Händen weniger Hardware-Hersteller. Vielleicht ist die eigentliche Lehre hier, dass in der Krypto-Welt niemand zu groß ist, um zu fallen, und nichts zu grundlegend, um infrage gestellt zu werden.

Ledger warnte vor den schwerwiegenden Folgen dieser Entdeckung.

„Von Malware, die Benutzer durch Tricks auf ihren Rechnern installieren könnten, bis hin zu vollständig remote ausgeführten Zero-Click-Exploits, die häufig von staatlich unterstützten Organisationen eingesetzt werden, gibt es schlicht keine Möglichkeit, die eigenen privaten Schlüssel auf diesen Geräten sicher zu speichern und zu verwenden“, schrieben sie.

Diese Nachricht kommt zu einem Zeitpunkt, an dem Angriffe auf Kryptowährungsbesitzer zunehmen. Eine im Juli von Chainalysis ergab, dass im Jahr 2025 bereits über 2,17 Milliarden US-Dollar von Krypto-Diensten gestohlen wurden. Diese Summe übersteigt die gesamten Diebstahlsbeträge des Jahres 2024.

Die meisten Kryptowährungsdiebstähle erfolgen über Online-Methoden wie Phishing und betrügerische Machenschaften, nicht durch physische Angriffe. Studien zeigen jedoch, dass physische Sicherheitslücken durchaus existieren.

Die Forscher von Donjon stellten fest, dass jeder Versuch, sobald sie den exakten Zeitpunkt für das Senden des elektromagnetischen Impulses ermittelt hatten, etwa eine Sekunde dauerte. Ihre Erfolgsquote lag zwischen 0,1 % und 1 % pro Versuch, was bedeutete, dass sie unter Laborbedingungen ein Gerät innerhalb weniger Minuten vollständig übernehmen konnten.

Ledger, der Hersteller der bekannten Nano-Hardware-Wallets, hat zwar nicht generell vom Gebrauch von Wallets auf Smartphones abgeraten. Die Ergebnisse deuten jedoch auf eine neue Methode hin, mit der sowohl Softwareentwickler als auch Endnutzer gezielt angesprochen werden könnten.

Eine Kryptowährungs-Wallet ist ein Programm, das die öffentlichen und privaten Schlüssel einer Person speichert und es ihr ermöglicht, ihr digitales Geld zu senden, zu empfangen und zu trac. Hardware-Wallets, auch „Cold Wallets“ genannt, speichern diese privaten Schlüssel vollständig offline auf einem separaten, physischen Gerät, das vom Internet getrennt ist. Dadurch sind sie vor Angriffen geschützt, die Smartphones oder Computer erreichen können.

Software-Wallets, auch bekannt als „Hot Wallets“, sind Anwendungen, mit denen Benutzer ihr digitales Geld auf verschiedenen Geräten speichern können. Dies macht sie jedoch anfällig für Hacking-Versuche und Phishing-Angriffe.

MediaTek zufolge fällt der Fehlereinspeisungstest von Ledger nicht in den Geltungsbereich.

MediaTek reagierte auf die Entdeckung mit einer Stellungnahme, die Ledger in seinen Bericht aufnahm. Das Unternehmen erklärte, dass Angriffe durch elektromagnetische Fehlerinjektion für den MT6878-Chip als „nicht relevant“ einzustufen seien, da dieser als reguläres Konsumprodukt und nicht als Hochsicherheitskomponente für Finanzsysteme oder sensible Daten entwickelt worden sei.

„Bei Produkten mit höheren Hardware-Sicherheitsanforderungen, wie beispielsweise Hardware-Krypto-Wallets, sind wir der Ansicht, dass diese mit geeigneten Gegenmaßnahmen gegen EMFI-Angriffe ausgestattet sein sollten“, erklärte MediaTek.

Ledger betonte, dass Geräte mit dem MT6878-Chip diese Sicherheitslücke weiterhin aufweisen, da der Fehler im unveränderlichen Siliziummaterial selbst liegt. Das Unternehmen hob hervor, dass Secure-Element-Chips für alle, die ihre eigene Kryptowährung verwalten oder andere sensible Sicherheitsvorgänge durchführen, unerlässlich bleiben, da diese spezialisierten Komponenten speziell entwickelt wurden, um sowohl Hardware- als auch Softwareangriffen zu widerstehen.

„Das Bedrohungsmodell von Smartphones kann, wie bei jeder Technologie, die verloren gehen oder gestohlen werden kann, Hardwareangriffe nicht ausschließen“, schrieb Ledger. „Aber die darin verwendeten SoCs sind genauso wenig vor Fehlereinspeisung gefeit wie Mikrocontroller, und die Sicherheit sollte letztendlich auf Secure Elements basieren, insbesondere für die Selbstverwahrung.“

Möchten Sie Ihr Projekt den führenden Köpfen der Krypto-Welt vorstellen? Stellen Sie es in unserem nächsten Branchenbericht vor, in dem Daten auf Wirkung treffen.