Разработчик Rektbuilder заявил, что компания-производитель криптовалютных аппаратных кошельков Ledger может отслеживать личности пользователей, используемые приложения, а также балансы криптовалют в устройстве с помощью программы управления кошельком Ledger Live. Разработчик обнаружил данное поведение во время работы над Lecce Libre, более легким и менее навязчивым программным обеспечением для аппаратного кошелька.
Разработчик сообщает, что программное обеспечение Ledger Live может отслеживать идентификаторы пользователей, приложения и балансы
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Ledger Live отправляет информацию о пользователях в Ledger, утверждает разработчик
Разработчик Rektbuilder предупредил о информации, которую компания-производитель аппаратных кошельков Ledger получает через свою программу управления кошельками Ledger Live. Согласно его находкам, программное обеспечение встраивает проверки идентификатора каждого устройства при установке или обновлении приложений и прошивки.
Разработчик, в настоящее время работающий над “Lecce Libre” — более легким и менее навязчивым приложением для управления аппаратными кошельками Ledger, предупредил, что удаление этого кода верификации нарушает работу приложения, что означает обязательность его использования. Он заявил:
Я попытался отключить удаленное отслеживание, и это невозможно, оно ломается, если вы это делаете. Это означает, что Ledger знает, что это вы каждый раз, когда вы подключаете устройство.
Ранее он также сообщил о том, что удалил детали сводки балансов, включающие сетевые вызовы для получения балансов активов. Rektbuilder утверждал, что Ledger Live совершал 2000 сетевых вызовов для «всего подряд ненужного», уже удалив их в Lecce Libre.
Он усилил свои опасения, подчеркнув, что из-за наличия функции восстановления, позволяющей извлекать личные ключи устройства, никто не может быть уверен, что они не считываются.
Эмин Гюн Сирер, основатель и генеральный директор Ava Labs, также призвал Ledger ответить на проблемы, о которых сообщил Rektbuilder. Он подчеркнул, что Ledger “должен быть в состоянии подтвердить или опровергнуть (1) правдивость этих утверждений, (2) возможность полностью автономной работы без отслеживания и (3) то, что личные ключи можно считать с защищенного элемента.”
Ledger, который недавно столкнулся с атакой, из-за которой пользователи потеряли активы на сумму $600,000, связался с Rektbuilder, которые сообщили, что теперь они работают с компанией кошелька, чтобы получить отзывы по поднятым вопросам.
Что вы думаете о предполагаемых проблемах с конфиденциальностью в Ledger Live? Поделитесь своим мнением в разделе комментариев ниже.
