Hey,
mir ist gerade Folgendes passiert. Ich wollte Ledger-Live aktualisieren und die aktuelle Version von der Homepage runterladen. Irgendwie bin ich via google aber nicht www.ledger.com gelandet, sondern auf einer Seite, die ein „-“ statt einen „.“ nach www hatte. Ist mir nicht gleich aufgefallen. Das ist mir nicht gleich aufgefallen. Als ich auf Download gedrückt habe, hat die Seite probiert sich mit meinem Device zu verbinden. Das war aber nicht angeschlossen. Als ich dann aufgefordert wurde meine seed phrase zu erfassen, gingen natürlich die Alarmglocken an und der Fehler ist mir aufgefallen.
Frage: Angenommen der Ledger ist entsperrt an den Rechner angeschlossen, wäre so eine Seite theoretisch in der Lage die Keys aus meinem Ledger zu holen?
nein dein Ledger ist genau dafür da, solchen Seiten keine Möglichkeit zu geben, deine Coins zu klauen.
Im übrigen bin ich mir ziemlich sicher, dass das „Verbinden“ sowieso nur simuliert ist und garnicht wirklich versucht wird eine Verbindung herzustellen. Die Seite zielt nur darauf ab, dich dazu zu bringen deine Mnemonic Phrase (24. Wörter) einzugeben.
Sehr gut, du warst achtsam und hast es nicht gemacht.
Vielleicht gibt Roman hier die Antwort dazu. Es gibt zwei Chips im Ledger. Der wo die Keys speichert ist geheim und die Programmierung wird nicht verraten. Der Transportchip oder Kommunikationschip der den Keychip mit dem Computer verbindet ist offen und die Programmierung davon ist bekannt und kann eingesehen werden. Im Kommunikationschip ist keine Funktion vorhanden, mit dem der Seed ausgelesen werden kann und somit bist Du sicher, dass der Seed auch im Keychip bleibt und nicht gestohlen werden kann.
Die meisten Browser haben mittlerweile eine sehr gute Sandbox dafür die driveby downloads verhindern. Man ist da momentan mit einem mehr oder weniger aktuellen Browser sicher.
Am besten den jeweiligen Browser mit „uMatrix“ absichern und per default JavaScript deaktivieren.
Somit können sich zwar Seiten in der HTML Ansicht öffnen aber keine Scripte nachladen, die nicht gewünscht sind. Es ist am Anfang etwas mühsam die meistbesuchten Seiten zu speichern, der Aufwand lohnt sich auf Dauer aber abermals.