Эксперт сообщил о невозможности анонимного использования приложения Ledger Live
Разработчик REKTBuildr изучил программный код приложения Ledger Live и обнаружил, что ПО отслеживает пользователей и накапливает о них данные.
Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 27, 2023
For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge
По его словам, Ledger Live проверяет каждое устройство «на подлинность» после установки приложения или обновления его прошивки. Эта функция встроена в подпрограмму listApps.
«[Разработчики ПО] знают о каждом подключении вашего устройства и какие еще приложения установлены на нем. Поэтому сейчас нет возможности управлять Ledger анонимно», — сообщил REKTBuildr.
Его попытка отключить дистанционное отслеживание привела к поломке приложения.
Исследователь рекомендовал не устанавливать последнее обновление прошивки Ledger Live, поскольку не уверен, какая еще информация может передаваться на центральные сервера компании.
«У них есть функция восстановления, которая извлекает приватные ключи из защищенного чипа. Как мы можем быть уверены, что эти ключи не будут каким-то образом “случайно” прочитаны?», — задается вопросом REKTBuildr.
Он также призвал разработчиков предоставить продвинутым пользователям аппаратных кошельков возможность работать полностью в автономном режиме, не связываясь с их серверами.
Напомним, 14 декабря команда Ledger сообщила о компрометации библиотеки ПО для децентрализованных приложений. Хакер смог внедрять вредоносный код в их интерфейсы.
В результате инцидента ущерб пользователей составил около $600 000.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
