Новость дня
Home / Новости / За пользователями аппаратного кошелька Ledger ведется слежка

За пользователями аппаратного кошелька Ledger ведется слежка

 За пользователями аппаратного кошелька Ledger ведется слежка

Программное обеспечение Ledger Live для аппаратных криптокошельков Ledger собирает данные о пользователях и приложениях. Об этом сообщил разработчик REKTbuildr.

 За пользователями аппаратного кошелька Ledger ведется слежка

REKTBuilder проанализировал исходный код программного обеспечения устройства EKTBuilder на языке Python и предположил, что оно осуществляет «проверку подлинности устройства» при каждом подключении кошелька Ledger к компьютеру или телефону.

Читайте также:  Инструкция: Как продать монеты Notcoin

По мнению REKTBuilder, данную проверку проходят все приложения, установленные на устройстве, что позволяет Ledger определить, какие сети использует владелец кошелька.

Аппаратный кошелек Ledger открыт для взлома — сплошной скам

За пользователями аппаратного кошелька Ledger ведется тотальная слежка

Разработчик отметил, что в Lеdger Live встроена проверка в ходе процедуры листинга приложений. Эта проверка выполняется при установке, обновлении приложений или прошивке, и, несмотря на удаление части отслеживающего кода в Lecce Libre, слежка все равно осуществляется, как сообщено в социальной сети.

В начале декабря REKTBuilder заявил о записи криптовалютных балансов пользователей Lеdger Live. В ответ на это была выпущена альтернатива Ledger Live с открытым исходным кодом, не содержащая трекеров, под названием «Lecce Libre».

Теперь REKTBuilder сообщает об обнаружении более серьезной проблемы конфиденциальности в Lеdger Live. Он выяснил, что несколько строк кода содержат фразу «genuine check» (подлинность проверки). При добавлении фразы «tracing prints» (отслеживание отпечатков) в этот код, устройство не запускается в процессе проверки. Это привлекло внимание разработчика, и REKTBuilder продолжил расследование.

Он обнаружил, что фактическая проверка встроена в подпрограмму listApps. REKTBuilder утверждает, что Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства. Попытка удалить этот код привела к неработоспособности программного обеспечения.

Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger

REKTBuilder отметил, что отключение удаленного отслеживания невозможно, и если попытаться сделать это, кошелек становится неисправным. Это означает, что при каждом подключении устройства Lеdger узнает личность пользователя и информацию об установленных приложениях.

Напомним, недавно компания Ledger обещала возместить убытки пользователей, пострадавших в результате хакерской атаки на ее аппаратные устройства. 

В октябре компания также представила функцию восстановления сид-фразы криптокошелька, части которой хранятся сторонними держателями, вызвавшую бурное обсуждение в криптосообществе.

Ранее криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger. Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним.

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News

Источник