Trezor Safe 7: Sicherheitslücke im TROPIC01-Chip entdeckt

Der Fehler steckt im TROPIC01-Chip und wurde Anfang Juni öffentlich gemacht. Gleichzeitig warnen Experten vor neuen Malware-Kampagnen, die gezielt Krypto-Wallets angreifen.

Der Diebstahl von Krypto-Wallet-Informationen und Passwörtern nimmt drastisch zu, da Kriminelle immer raffiniertere Methoden wie Steganografie einsetzen. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Mobilgerät und Ihre sensiblen Daten sofort wirksam schützen können. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Laser-Fehlerinjektion umgeht Signaturprüfung

Die Schwachstelle erlaubt Angreifern, die Signaturprüfung des Hardware-Wallets per Laser-Fehlerinjektion auszuhebeln. Auch Chip-Entwickler Tropic Square identifizierte einen verwandten Angriffspfad, der auf das PIN-Geheimnis zielt. Da es sich um einen Hardware-Fehler handelt, lässt er sich nicht per Software-Update beheben.

Trezor betont jedoch: Kundengelder und private Schlüssel seien nicht unmittelbar gefährdet. Der betroffene Chip bilde nur eine von drei Sicherheitsebenen. Zudem erfordert ein erfolgreicher Angriff physischen Zugriff auf das Gerät und spezialisiertes Laborequipment. Branchenanalysten von Cyvers stufen das Risiko für den Alltag als eher unpraktisch ein. Tropic Square hat bereits mit der Produktion einer korrigierten Chip-Charge begonnen.

ClickFix-Kampagne: KI-Tools als Köder

Parallel zu den Hardware-Analysen beobachten Sicherheitsforscher eine Zunahme von Phishing-Angriffen. In einer aktuellen ClickFix-Kampagne nutzen Angreifer gefälschte Webseiten für KI-Entwicklungswerkzeuge wie Claude Code und OpenAI Codex. Opfer werden dazu verleitet, Befehle auszuführen, die eine mehrstufige Infektion einleiten.

Die Angreifer setzen Steganografie ein – sie verstecken bösartigen Code in Bilddateien, der direkt im Arbeitsspeicher ausgeführt wird. Ziel ist der Diebstahl von Browser-Passwörtern, E-Mail-Zugangsdaten und Krypto-Wallet-Informationen. Verbreitet werden die Kampagnen teils über kompromittierte GitHub-Konten und manipulierte npm-Pakete.

Defizite bei der privaten Absicherung

Trotz steigender Bedrohungslage nutzen viele Anwender grundlegende Sicherheitsfunktionen nur unzureichend. Eine YouGov-Umfrage unter über 2.000 Befragten zeigt: 74 Prozent der Deutschen halten ihre Passwörter für sicher – aber nur 25 Prozent setzen eine Zwei-Faktor-Authentisierung (2FA) ein. Der Branchenverband eco weist darauf hin, dass herkömmliche Passwörter die unsicherste Authentifizierungsform darstellen.

Experten empfehlen daher die konsequente Nutzung von Hardware-Wallets in Kombination mit 2FA. In neuen Leitfäden zur sicheren Kontenverwaltung wird zudem die Bedeutung von Offline-Backups der Wiederherstellungsphrase hervorgehoben. Diese sollte niemals digital gespeichert werden – sonst ist sie durch Malware oder Phishing-Seiten gefährdet.

Da herkömmliche Passwörter oft die größte Sicherheitslücke darstellen, setzen immer mehr Nutzer auf die neue Passkey-Technologie zur Absicherung ihrer Online-Konten. Wie Sie diese passwortlose Anmeldung bei Diensten wie Amazon oder WhatsApp einrichten, erfahren Sie in diesem kostenlosen Report. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Passkeys als Zukunftslösung

Technologieunternehmen setzen verstärkt auf Passkeys als Alternative zu Passwörtern. Diese kryptografischen Zugangsschlüssel gelten als weitgehend resistent gegen Phishing, da sie an das physische Gerät des Nutzers gebunden sind und biometrische Merkmale zur Freigabe nutzen. In der Generation Z verwenden bereits 41 Prozent passwortlose Anmeldeverfahren – in der Gesamtbevölkerung sind es laut aktuellen Marktdaten erst 32 Prozent.

de | wissenschaft | 69483805 |