Een aan Ledger gelieerde onderzoekseenheid voor beveiliging heeft een ernstige kwetsbaarheid in de Tangem-wallet onthuld die, hoewel in de praktijk moeilijk te misbruiken, niet kan worden verholpen op kaarten die al in omloop zijn. De ontdekking roept ongemakkelijke vragen op over wat EAL6+-certificering nu eigenlijk garandeert — en over wie mag bepalen wat telt als een “echt” risico.
Summary
Belangrijkste punten
- Ledger Donjon ontdekte een laser-fault-injection-aanval die de pincode van een Tangem-kaart kan resetten door een firmwarecontrole van de herstelstatus te omzeilen.
- De exploit vereist fysieke toegang tot de kaart, gespecialiseerde laserapparatuur en een laboratoriumopstelling die ongeveer $250.000 kost.
- Alle Tangem-kaarten die momenteel in omloop zijn, worden getroffen, en er is geen patch mogelijk omdat de kaarten geen firmware-updatemechanisme hebben.
- Zodra de pincode is gereset, krijgt een aanvaller volledige controle over de wallet en kan hij transacties ondertekenen om tegoeden te verplaatsen.
- Tangem noemde het praktische risico voor dagelijkse gebruikers “nagenoeg onbestaand” en wees op de band van Ledger Donjon met concurrent Ledger.
Ontdekking van de kwetsbaarheid in de Tangem-kaart door Ledger Donjon
Ledger Donjon — de onderzoeksafdeling voor beveiliging van hardwarewallet-fabrikant Ledger — publiceerde een technische openbaarmaking waarin een laser-fault-injection-aanval wordt beschreven die Tangem-smartcardwallets kan compromitteren. De kwetsbaarheid werd in februari voor het eerst aan Tangem gemeld, waardoor dit een gecoördineerde openbaarmaking is en geen onverwachte onthulling.
De techniek is precies en invasief. Onderzoekers stelden de secure-elementchip op een Tangem-kaart fysiek bloot, sloten deze aan op aangepaste hardware en vuurden een nanoseconde-laserpuls af op een specifiek gebied van de chip. Die puls verstoorde de firmwarecontrole van de herstelstatus — de poort die normaal verifieert of een kaart gemachtigd is om een pincodewijziging te accepteren — waardoor de SetPin-instructie een volledig nieuw wachtwoord kon accepteren zonder dat de oorspronkelijke pincode of een reservekaart nodig was.
Wat de aanval in de praktijk inhoudt
Het proces is niet snel, maar wel reproduceerbaar. Na het demonstreren van de eerste exploit wisten onderzoekers deze met succes te herhalen op een tweede en derde kaart. Elke poging vergde ongeveer twee uur voorbereiding en uitvoering. De laboratoriumopstelling die Ledger Donjon in zijn blogpost beschreef, kostte ongeveer $250.000 — een bedrag dat de lat hoog legt voor wie dit in de echte wereld geloofwaardig zou kunnen proberen.
Naast de laserapparatuur zelf vereist het uitvoeren van de aanval side-channel-analysetools en diepgaande expertise in hardwarebeveiliging. Dit is niets wat een gelegenheidsdief zomaar kan uitvoeren.
Impact en reikwijdte van de kwetsbaarheid
Elke Tangem-kaart die momenteel in omloop is, wordt door dit probleem getroffen, en er is geen manier om ze te patchen. In tegenstelling tot softwarewallets of traditionele hardwarewallets van andere fabrikanten, hebben Tangem-kaarten geen firmware-updatemechanisme — wat betekent dat de onderliggende logische fout permanent is op bestaande hardware.
Wat er gebeurt na een geslaagde aanval
Zodra een aanvaller de pincode van de kaart reset, krijgt hij volledige controle over de bijbehorende wallet. Vanaf dat moment kan de kaart vrij transacties ondertekenen en kunnen alle tegoeden die aan die wallet zijn gekoppeld zonder beperking worden verplaatst. Het aanvalspad is rechtlijnig zodra fysieke toegang is verkregen: omzeil de controle, reset de pincode, leeg de wallet.
Het is de moeite waard om één praktische beperking te benadrukken: de aanval is fysiek invasief en onomkeerbaar. De kaart kan niet opnieuw worden samengesteld en onbeschadigd aan de eigenaar worden teruggegeven. Dat betekent dat het scenario waarin dit het meest relevant is, een verloren of gestolen kaart betreft — niet een heimelijke onderschepping.
Waarom dit verder reikt dan één walletmerk
De diepere implicatie gaat verder dan Tangem. De onderzoekers van Ledger Donjon waren expliciet: alleen EAL6+-certificering voorkomt geen fault-injection-aanvallen als de firmware uitbuitbare logische fouten bevat. EAL6+ is een van de hoogste beveiligingsevaluatieniveaus in hardware, en veel consumenten en instellingen zien het als een bijna-garantie van robuustheid. Deze openbaarmaking daagt die aanname direct uit.
De onderzoekers adviseerden dat firmware van secure elements meerdere onafhankelijke controles moet gebruiken voor gevoelige handelingen, methoden voor statusvalidatie moet versterken en ervoor moet zorgen dat wachtwoordwijzigingen beschermd blijven, zelfs wanneer herstelfuncties zijn uitgeschakeld. Het punt is niet dat EAL6+ waardeloos is — het is dat certificering beoordeelt wat getest is, niet elk mogelijk aanvalsoppervlak. Een logische fout in firmware kan het certificeringsproces volledig onopgemerkt doorstaan.
Dit heeft ook gevolgen voor de manier waarop de bredere hardwarewalletindustrie omgaat met langlevende embedded beveiliging. Als een kaart geen firmware-updates kan ontvangen, wordt elke kwetsbaarheid die na de productie wordt ontdekt een permanent kenmerk van elke ooit verzonden eenheid. Die ontwerpkeuze — gemak inruilen voor eenvoud — heeft een verborgen kost die pas zichtbaar wordt wanneer een fout aan het licht komt.
De reactie van Tangem en de vraag naar belangenverstrengeling
De tegenreactie van Tangem was snel en in twee richtingen tegelijk gericht. Inhoudelijk stelde het bedrijf dat de combinatie van fysieke toegang, laboratoriumapparatuur met een prijskaartje van zes cijfers en gespecialiseerde expertise het praktische risico voor dagelijkse gebruikers “nagenoeg onbestaand” maakt. Dat is een verdedigbaar standpunt gezien de vereisten van de aanval — iemand die willekeurig een Tangem-kaart met een laseropstelling van $250.000 aanvalt, is voor de meeste mensen geen realistisch dreigingsmodel.
De invalshoek van de concurrentierelatie
Tangem bracht ook een structureel bezwaar naar voren. “Hoewel Ledger Donjon zich presenteert als een onafhankelijke onderzoekseenheid, opereert het binnen Ledger, een van onze grootste concurrenten,” schreef het bedrijf op X. “Hun bevindingen moeten met dat in het achterhoofd worden gelezen.”
De constatering is feitelijk juist — Ledger Donjon maakt deel uit van Ledger, een directe commerciële rivaal. Maar het benoemen van die relatie maakt de technische bevindingen niet ongeldig, en de kwetsbaarheid werd maanden vóór de publieke bekendmaking aan Tangem gemeld. Tangem erkende zelf in zijn reactie dat “gegeven voldoende tijd, financiering en toegang, de firmware op elk secure element uiteindelijk kan worden gereverse-engineerd en uitgebuit” — een concessie die bevestigt dat de categorie aanval reëel is, zelfs als de praktische drempel hoog ligt.
Het is ook vermeldenswaard dat de onderzoekers van Ledger Donjon eerder al aanvullende beveiligingsproblemen in het Tangem-ecosysteem hadden ontdekt, waaronder een daadwerkelijke controle-omzeiling in de Tangem-Androidapplicatie en een brute-force-aanval op het authenticatieprotocol van de kaart. De ontdekking van de laser-fault-injection is onderdeel van een bredere onderzoekslijn, geen eenmalige vondst.
Wat bestaande Tangem-gebruikers moeten overwegen
Voor gebruikers die hun Tangem-kaart fysiek veilig bewaren, is het hier beschreven risico bij de huidige capaciteiten van aanvallers in feite theoretisch. De aanval kan niet op afstand worden uitgevoerd, kan niet heimelijk worden gedaan en laat de kaart achter in een staat die manipulatie verraadt.
De meer ongemakkelijke realiteit is dat er op firmwareniveau geen mitigatie bestaat voor kaarten die al in het veld zijn. Fysieke beveiliging — de kaart niet kwijtraken of laten stelen — is momenteel de enige praktische verdediging die bestaande houders hebben.
Of toekomstige Tangem-hardware een firmware-updatemechanisme of extra onafhankelijke controles van de herstelstatus zal bevatten, is een open vraag die door de huidige openbaarmaking nadrukkelijk op tafel ligt.
FAQ
Wat is de aard van de kwetsbaarheid die is ontdekt in Tangem-hardwarewalletkaarten?
Een laser-fault-injection-aanval kan de pincode van de kaart resetten door een controle van de herstelstatus in de firmware te omzeilen, waardoor ongeautoriseerde wachtwoordwijzigingen mogelijk worden zonder de oorspronkelijke pincode of een reservekaart.
Wat zijn de vereisten voor een aanvaller om deze kwetsbaarheid uit te buiten?
De aanval vereist fysieke toegang tot de kaart, dure gespecialiseerde laser-fault-injection-laboratoriumapparatuur die ongeveer $250.000 kost, side-channel-analysetools en geavanceerde expertise in hardwarebeveiliging.
Kan de kwetsbaarheid worden gepatcht op Tangem-kaarten die momenteel in omloop zijn?
Nee. De kwetsbaarheid kan niet worden gepatcht omdat Tangem-kaarten geen firmware-updatemechanisme hebben, wat betekent dat alle kaarten die momenteel in omloop zijn, voor onbepaalde tijd getroffen blijven.
Wat is Tangems standpunt over het praktische risico van deze kwetsbaarheid voor dagelijkse gebruikers?
Tangem stelt dat het risico voor dagelijkse gebruikers “nagenoeg onbestaand” is vanwege de complexiteit van de aanval, de kosten van de apparatuur en de vereiste fysieke toegang. Het bedrijf wees er ook op dat Ledger Donjon opereert binnen concurrent Ledger, en suggereerde dat de bevindingen in die context moeten worden gelezen.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Wat is de aard van de kwetsbaarheid die is ontdekt in Tangem-hardwarewalletkaarten?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Een laser-fault-injection-aanval kan de pincode van de kaart resetten door een controle van de herstelstatus in de firmware te omzeilen, waardoor ongeautoriseerde wachtwoordwijzigingen mogelijk worden zonder de oorspronkelijke pincode of een reservekaart.”}},{“@type”:”Question”,”name”:”Wat zijn de vereisten voor een aanvaller om deze kwetsbaarheid uit te buiten?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”De aanval vereist fysieke toegang tot de kaart, dure gespecialiseerde laser-fault-injection-laboratoriumapparatuur die ongeveer $250.000 kost, side-channel-analysetools en geavanceerde expertise in hardwarebeveiliging.”}},{“@type”:”Question”,”name”:”Kan de kwetsbaarheid worden gepatcht op Tangem-kaarten die momenteel in omloop zijn?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Nee. De kwetsbaarheid kan niet worden gepatcht omdat Tangem-kaarten geen firmware-updatemechanisme hebben, wat betekent dat alle kaarten die momenteel in omloop zijn, voor onbepaalde tijd getroffen blijven.”}},{“@type”:”Question”,”name”:”Wat is Tangems standpunt over het praktische risico van deze kwetsbaarheid voor dagelijkse gebruikers?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Tangem stelt dat het risico voor dagelijkse gebruikers “nagenoeg onbestaand” is vanwege de complexiteit van de aanval, de kosten van de apparatuur en de vereiste fysieke toegang. Het bedrijf wees er ook op dat Ledger Donjon opereert binnen concurrent Ledger, en suggereerde dat de bevindingen in die context moeten worden gelezen.”}}]}
Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.

