Mir wird übrigens in Ledger Live ein Update zu Version 2.43.1 angezeigt.
Finde das Update aber nicht, seltsam?
Auf der Webseite wird auch eine Version "ledger-live-desktop-2.43.1-win-x64.exe" zum Downlod angeboten und auch auf
Reddit wurde von einem Ledger Support Mitarbeiter? bestätigt das dieses Update legit wäre.
Allerdings hast du recht das noch keine Signaturen veröffentlicht wurden und auch im Github Repo kann ich auf die schnelle noch kein Package finden. Also auch wenn dieses Update legit
ist sein sollte, finde ich es eigentlich unverantwortlich dieses auf diese Art auszurollen. Als Hersteller von Security Hardware sollte man es besser wissen, sonst laden irgendwann die Nutzer einfach alles runter was irgendwann angeboten wird, auch wenn es dann vielleicht mal eine kompromittierte Software ist.
Mal angenommen die Ledger Live Software würde wirklich durch ein Update kompromittiert werden. Wäre das denn überhaupt so schlimm?
Die Sicherheit geht ja nicht von der Software, sondern doch eigentlich von der externen HW-Wallet aus. D.h. spätestens beim Signieren von Transaktionen würde es doch auffallen wenn etwas nicht passt, oder nicht?
Ja dies wäre schlimm! Erstens könnte auf deinem Rechner damit noch irgendwelche andere Schadsoftware installiert werden und wenn dir dann auch gleich noch eine kompromittiertes Firmware mit untergeschoben wird fällt dir gar nichts auf bevor deine Wallet leer geräumt ist. Nicht umsonst weist Ledger und jeder andere Hersteller in diesem Bereich immer darauf hin die Signaturen zu prüfen. Daher würde ich das derzeit angebotene Update 2.43.1 im Moment noch nicht installieren.