Der Sicherheitsforscher Yannik Marchand (kinnay), spezialisiert auf das Reverse Engineering von Nintendo-Code, hat am 06. Juni 2025 einen Bericht über HackerOne eingereicht, der nun – zwei Monate später – öffentlich gemacht wurde.
Seine Arbeiten sind unter reversing.live zu finden.
Am 15. Juli 2025 wurde die gemeldete Schwachstelle von Nintendo behoben.
Es handelte sich um eine logische Fehleranfälligkeit im Systemmodul, die es erlaubte, Anwendungen ein gefälschtes Server-Zertifikat bereitzustellen.
đź’ˇ Gefahren dieser Schwachstelle:
- Ermöglichtes Mitlesen und Manipulieren des Datenverkehrs zwischen Konsole und Server
- Mögliche Preisgabe vertraulicher Informationen
- Eröffnung neuer Angriffsvektoren
- Betroffen: Alle Anwendungen, die
nn::ssl::Context::ImportServerPkinutzen
đź“Ś Technischer Hintergrund:
Die Funktion ImportServerPki auf der Switch erlaubt den Import von bis zu 71 Zertifikatsobjekten (CA- oder Server-Zertifikate, jedoch keine Public Keys).
Nintendo hat den Fehler in einem Firmware-Update behoben.
📄 Quelle & vollständiger Bericht: HackerOne
