You can also read the English version of this article.

Hol dir die neueste BitBoxApp hier: https://shiftcrypto.ch/de/download/

Sicherheit geht vor

Was ist passiert?

Am 21. Mai 2022 hat uns Dmitry Zemlyakov im Rahmen unseres Bug-Bounty-Programms eine Schwachstelle im BitBoxApp-Installationsprogramm für Windows gemeldet. Diese könnte es einem Angreifer potentiell ermöglichen, während der Installation Malware mit Administratorrechten auszuführen. Dieses Problem wird mit diesem Update behoben.

Wir haben keine Hinweise darauf gefunden, dass die Sicherheitslücke ausgenutzt wurde. Wir möchten uns bei Dmitry Zemlyakov für seine Unterstützung zur stetigen Verbesserung der Sicherheit unserer Produkte bedanken.

Technische Details

Das BitBoxApp-Installationsprogramm unter Windows ruft den Windows-Befehl "taskkill" auf, um einen laufenden BitBoxApp-Prozess zu beenden, damit es die BitBoxApp-Datei aktualisieren kann. Wenn es einem Angreifer gelingt, vor der Installation eine ausführbare Datei mit dem Namen "taskkill" im gleichen Ordner wie das BitBoxApp-Installationsprogramm zu platzieren (in der Regel im Ordner "Downloads"), wird diese Datei anstelle des Systembefehls ausgeführt. Dadurch könnte theoretisch Malware installiert werden.

Dieses Update beseitigt dieses Risiko, indem "taskkill" nicht mehr aufgerufen wird.

Was sollte ich tun, um auf Nummer sicher zu gehen?

Du brauchst nichts weiter zu unternehmen. Diese Version verbessert lediglich die allgemeine Systemsicherheit für dieses und zukünftige Updates. Die BitBox02 Hardware-Wallet ist so konzipiert, dass sie deine Coins vor potenzieller Malware auf deinem Computer oder Handy schützt. Diese Schwachstelle stellt in dieser Hinsicht kein zusätzliches Risiko dar. Durch die Verifizierung der Empfangsadressen und Transaktionsdetails auf der BitBox02 wird das Risiko, dass Malware auf dem Computer Zugriff auf deine Coins erhält, stark reduziert. Bitte achte immer darauf, jede Aktion auf der BitBox02 ordnungsgemäß zu verifizieren.

EIP-712: Ethereum typed structured data

EIP ist die Abkürzung für "Ethereum Improvement Proposal" (Ethereum Verbesserungs-Vorschlag). Da Ethereum ein offenes Protokoll ist, kann jeder einen Vorschlag machen, der dann umgesetzt werden kann, wenn die Community zustimmt.

EIP-712 ist ein Standard für das Signieren von Nachrichten, der es ermöglicht, Daten in einem für den Menschen lesbaren Format anzuzeigen. Damit kann der Nutzer überprüfen, was er signiert, was die Sicherheit und Benutzerfreundlichkeit verbessert. Vor EIP-712 konnte ein Nutzer nicht ohne Weiteres überprüfen, was er signiert, da nur eine hexadezimale Zeichenfolge und nicht für Menschen lesbare Information angezeigt wurde.

Links: Signieren eines Smart Contracts, der nicht EIP712-kompatibel ist. Rechts: Darstellung der Smart Contract-Daten nach EIP-712; strukturiert und leichter zu überprüfen.

Obwohl dieser Standard bereits 2017 vorgeschlagen wurde, hat er sich erst kürzlich durchgesetzt, vor allem bei Smart Contracts, die NFTs auf Plattformen wie OpenSea publizieren. Mit diesem Firmware-Update können BitBox-Nutzer diese Funktion nun auf transparentere und sicherere Weise nutzen.

Weitere Verbesserungen

Wir arbeiten laufend daran, die Benutzeroberfläche der BitBoxApp zu verbessern. Ein Beispiel dafür ist die Portfolio-Ansicht: Sie zeigt jetzt Platzhalter in voller Größe an, die darauf hinweisen, dass Daten geladen werden, und verhindert, dass sich andere Inhalte verschieben, sobald die Grafik angezeigt wird.

Ein weiteres Beispiel stammt von einem externen Entwickler, der das BitBoxApp macOS-Symbol gemäß den neuen Apple-Designrichtlinien aktualisiert hat. Vielen Dank dafür, Valid Block!

Im Change Log der BitBoxApp und der BitBox02-Firmware findest du eine vollständige Liste aller Änderungen.


Wie kann ich auf dem Laufenden bleiben?

Melde dich für die BitBox News an um immer auf dem Laufenden zu bleiben. So erhältst du die neuesten Infos, einschließlich Hinweisen zu neuen Releases und wichtigen Sicherheitsupdates.

BitBox Newsletter-Anmeldung
Der BitBox Newsletter berichtet über alles, was mit Sicherheit, Bitcoin und der BitBox zu tun hat.

Vielen Dank, dass du Teil unserer BitBox-Familie bist!


Shift Crypto ist ein privates Unternehmen mit Sitz in Zürich, Schweiz. Unser Team aus Bitcoin-Entwicklern, Krypto-Experten und Sicherheitsingenieuren entwickelt Produkte, die unseren Kunden eine stressfreie Reise vom Anfänger zum Meister der Kryptowährung ermöglichen. Die BitBox02, unsere Hardware-Wallet der zweiten Generation, ermöglicht es den Nutzern, Bitcoin und andere Kryptowährungen zu speichern, zu schützen und mit Leichtigkeit zu handeln - zusammen mit der dazugehörigen Software, der BitBoxApp.