Эксперт сообщил о невозможности анонимного использования приложения Ledger Live

ledger_wallet-min
ledger_wallet-min

Разработчик REKTBuildr изучил программный код приложения Ledger Live и обнаружил, что ПО отслеживает пользователей и накапливает о них данные.

По его словам, Ledger Live проверяет каждое устройство «на подлинность» после установки приложения или обновления его прошивки. Эта функция встроена в подпрограмму listApps. 

«[Разработчики ПО] знают о каждом подключении вашего устройства и какие еще приложения установлены на нем. Поэтому сейчас нет возможности управлять Ledger анонимно», — сообщил REKTBuildr.

Его попытка отключить дистанционное отслеживание привела к поломке приложения. 

Исследователь рекомендовал не устанавливать последнее обновление прошивки Ledger Live, поскольку не уверен, какая еще информация может передаваться на центральные сервера компании.

«У них есть функция восстановления, которая извлекает приватные ключи из защищенного чипа. Как мы можем быть уверены, что эти ключи не будут каким-то образом “случайно” прочитаны?», — задается вопросом REKTBuildr.

Он также призвал разработчиков предоставить продвинутым пользователям аппаратных кошельков возможность работать полностью в автономном режиме, не связываясь с их серверами.

Напомним, 14 декабря команда Ledger сообщила о компрометации библиотеки ПО для децентрализованных приложений. Хакер смог внедрять вредоносный код в их интерфейсы.

В результате инцидента ущерб пользователей составил около $600 000.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK