Разработчик обнаружил слежку за пользователями аппаратного кошелька Ledger LGRS +0,89% Добавить/Убрать из портфеля Добавить в список Добавить позицию
Позиция успешно добавлена:
Введите название портфеля активов Тип: Покупка Продажа Дата: Колич.: Цена Цена пункта: Кред. плечо: 1:1 1:10 1:25 1:50 1:100 1:200 1:400 1:500 1:1000 Комиссия: Создать новый список Создать Создать портфель активов Добавить Создать + Добавить другую позицию Закрыть
REKTBuilder исследовал код Python программного обеспечения устройства и предположил, что оно выполняет «проверку подлинности устройства» каждый раз, когда пользователь подключает кошелек Ledger к компьютеру или телефону. По словам REKTBuilder, эту проверку проходят все приложения, установленные на устройстве, поэтому Ledger может узнать, какие сети использует владелец кошелька.
«В Ledger Live встроена проверка при процедуре листинга приложений. Они всегда проверяют ваше устройство при установке, обновлении приложений или прошивке. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка все равно ведется», – написал разработчик в соцсети Х.
В начале декабря REKTBuilder заявил, что Ledger Live записывает криптовалютные балансы пользователей. Позднее была выпущена альтернатива Ledger Live с открытым исходным кодом, без трекеров, под названием «Lecce Libre».
Теперь REKTBuilder утверждает, что обнаружил более серьезную проблему конфиденциальности в Ledger Live. Он выяснил, что несколько строк кода содержат фразу «genuine check» (подлинность проверки). Когда он добавил в этот код фразу «tracing prints» (отслеживание отпечатков), то обнаружил, что устройство не запускалось в ходе его проверки. Это вызвало любопытство у разработчика, и REKTBuilder продолжил расследование.
Он обнаружил, что фактическая проверка встроена в подпрограмму listApps. Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства, утверждает REKTBuilder. Разработчик попытался удалить код, в результате чего программное обеспечение «сломалось» и стало непригодным для использования.
«Я попробовал отключить удаленное отслеживание, но это невозможно. Если вы это сделаете, кошелек сломается. Это означает: при каждом подключении вашего устройства, Ledger знает, что это вы, и какие приложения вы установили», — заявил REKTBuilder.
Напомним, что недавно компания Ledger пообещала покрыть убытки пользователей, понесенные в ходе хакерской атаки на аппаратные устройства компании. В октябре Ledger официально запустила функцию восстановления сид-фразы криптокошелька, части которой хранятся сторонними держателями, и эта функция вызвала в криптосообществе множество споров.
Читайте оригинальную статью на сайте Bits.media
Разработчик обнаружил слежку за пользователями аппаратного кошелька Ledger