Программное обеспечение Ledger Live для аппаратных криптокошельков Ledger собирает данные о пользователях и приложениях. Об этом сообщил разработчик REKTbuildr.
REKTBuilder проанализировал исходный код программного обеспечения устройства EKTBuilder на языке Python и предположил, что оно осуществляет «проверку подлинности устройства» при каждом подключении кошелька Ledger к компьютеру или телефону.
По мнению REKTBuilder, данную проверку проходят все приложения, установленные на устройстве, что позволяет Ledger определить, какие сети использует владелец кошелька.
За пользователями аппаратного кошелька Ledger ведется тотальная слежка
Разработчик отметил, что в Lеdger Live встроена проверка в ходе процедуры листинга приложений. Эта проверка выполняется при установке, обновлении приложений или прошивке, и, несмотря на удаление части отслеживающего кода в Lecce Libre, слежка все равно осуществляется, как сообщено в социальной сети.
В начале декабря REKTBuilder заявил о записи криптовалютных балансов пользователей Lеdger Live. В ответ на это была выпущена альтернатива Ledger Live с открытым исходным кодом, не содержащая трекеров, под названием «Lecce Libre».
Теперь REKTBuilder сообщает об обнаружении более серьезной проблемы конфиденциальности в Lеdger Live. Он выяснил, что несколько строк кода содержат фразу «genuine check» (подлинность проверки). При добавлении фразы «tracing prints» (отслеживание отпечатков) в этот код, устройство не запускается в процессе проверки. Это привлекло внимание разработчика, и REKTBuilder продолжил расследование.
Он обнаружил, что фактическая проверка встроена в подпрограмму listApps. REKTBuilder утверждает, что Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства. Попытка удалить этот код привела к неработоспособности программного обеспечения.
REKTBuilder отметил, что отключение удаленного отслеживания невозможно, и если попытаться сделать это, кошелек становится неисправным. Это означает, что при каждом подключении устройства Lеdger узнает личность пользователя и информацию об установленных приложениях.
Напомним, недавно компания Ledger обещала возместить убытки пользователей, пострадавших в результате хакерской атаки на ее аппаратные устройства.
В октябре компания также представила функцию восстановления сид-фразы криптокошелька, части которой хранятся сторонними держателями, вызвавшую бурное обсуждение в криптосообществе.
Ранее криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger. Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним.
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News