Home Foren Trezor Wallet Hilfe, wie kann ich den Bootloader und den Firmware-Fingerabdruck überprüfen?

Ansicht von 3 Antwort-Themen
  • Autor
    Beiträge
    • 12. Juni 2023 um 23:47 Uhr #2434213
      root_s2yse8vt
      Administrator
      Up
      0
      Down
      ::

      Ich habe gerade das trezor Modell -t Modell gekauft und habe den Artikel über das gefälschte Gerät gelesen, der von kapersky

      Ich habe alle von trezor empfohlenen Sicherheitsmaßnahmen befolgt.

      aber in den letzten 2-3 Tagen konnte ich kaum schlafen, weil ich mir Sorgen mache, dass mein Gerät Hardware-Komponenten haben könnte, die verändert worden sind

      Ich habe auch eine sehr lange Passphrase verwendet, um sicherer zu sein, aber mein Herz ist immer noch nicht ruhig und ich suche nach einem Weg, um sicherzustellen, dass mein Gerät nicht von einem Angriff auf die Lieferkette betroffen ist, weil man es nur durch Öffnen des Geräts überprüfen und dann mit einem legitimen Geräte-Image auf Trezor vergleichen kann, aber ich habe Angst, dass das Gerät kaputt geht und beschädigt wird

      Ich habe also versucht, einen Weg zu finden, um sicherzustellen, dass die Firmware und der Bootloader auf meinem trezor gültig und nicht gefälscht sind. Ich kann nur meine trezor suite app genuine by kleopatra verifizieren

      Leider bin ich kein Experte in Sachen Programmierung. Ich hoffe, dass mir jemand Schritt für Schritt sagen kann, wie ich die Fingerabdruck-Firmware und den Bootloader meines Geräts mit dem auf github vergleichen kann, vielen Dank

      hoffentlich wird trezor in Zukunft ein Video für Nicht-Techniker veröffentlichen, in dem Schritt für Schritt der Vergleich von Fingerabdruck auf Firmware/Bootloader oder andere wichtige Sicherheitsempfehlungen erklärt werden.

    • 12. Juni 2023 um 23:47 Uhr #2434214
      dulitul123
      Gast
      Up
      0
      Down
      ::

      I assume you mean this article https://www.kaspersky.co.uk/blog/fake-trezor-hardware-crypto-wallet/25951/? According to the article, this affects only if you are running the non existent v. 2.0.4 on a fake device.
      The current model t bootloader version is the official 2.1.0 which you can find a link to in their official github page https://github.com/trezor/trezor-firmware/blob/master/core/embed/bootloader/CHANGELOG.md

      So if you never ran 2.0.4 then you should be good.

      Also, did you buy your trezor from the official site? The article says the fake trezors have been bought from a 3rd party seller?

      I am no expert but If you read the article, it says

      “Third, if the user chose to set an additional master-seed protection password, only its first symbol (a…z, A…Z, 0…9 or ! for any special character) was used, which, together with the no-password option, gave just 64 possible combinations. “

      So you said you’ve set a good passphrase which I guess contains more special characters than the allowed ones in the fake software. So you may try restoring your seed + passphrase on another device which is hopefully not affected which will give you the confidence the initial passphrase is correct meaning you’ve had a genuine device.

    • 12. Juni 2023 um 23:47 Uhr #2434215
      dulitul123
      Gast
      Up
      0
      Down
      ::

      bootloader 2.0.4 never existed, it was a fake version created by the scammers and not by trezor, if you check the changelog you should be running on 2.1.0 which you can confirm in trezor’s github change log. If you run on that version then you are good

    • 12. Juni 2023 um 23:47 Uhr #2434216
      brianddk
      Gast
      Up
      0
      Down
      ::

      You’re fine… don’t worry.

      The Kaperskey article was over a year old, and the fact that it was a one-off makes it very unlikely that this was any type of coordinated attack. For all we know Kaperskey made the modifications themselves to write a salacious article.

      The particular attack that Kaperskey claimed to have found required a few points.

      1. User did NOT buy from `trezor.io`
      2. User did NOT update the firmware
      3. User did NOT encrypt the NAND

      If avoided these three mistakes, even with the device Kaperskey dismantled, you would be perfectly secure.

      This is just fear masquerading as news intended to stoke fear and increase clicks.

      > I just bought the trezor model -t

      Then encrypt the NAND, makes the thing damned near bulletproof

      > so I’ve been trying to find a way to make sure the firmware and bootloader on my trezor are valid

      Simple, connect to Suite and flash to latest. Problem solved.

      > able to verify my trezor suite app genuine by kleopatra

      FANTASTIC!! Very (very) few users ever do this step and it puts you miles and miles ahead of any attacker.

      > unfortunately I’m not an expert in programming, I I hope someone can tell me step by step how to compare the fingerprint firmware and bootloader from my device and the one on github, thank you

      Most find my methods too tin-foil hat. I fear you’d need to digest some rather technical stuff follow along.

      But if you begin to study this stuff in earnest, here’s how to validate most everything on Trezor-T

      1. [My 500 page reading list to understand the Trezor-T technicals](https://www.reddit.com/r/TREZOR/comments/13x97px/comment/jmhj30r/)
      2. [A method for bypassing firmware and bootloader to bootstrap device](https://www.reddit.com/r/TREZOR/comments/13umfly/hyper_paranoid_trezort_autowipe_method/)

      Keep in mind, the second item uses a program called `dd` which is notorious for wiping out drives. Not for the faint at heart.

  • Autor
    Beiträge
Ansicht von 3 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.