Разработчик REKTBuildr изучил программный код приложения Ledger Live и обнаружил, что ПО отслеживает пользователей и накапливает о них данные.
По его словам, Ledger Live проверяет каждое устройство «на подлинность» после установки приложения или обновления его прошивки. Эта функция встроена в подпрограмму listApps.
«[Разработчики ПО] знают о каждом подключении вашего устройства и какие еще приложения установлены на нем. Поэтому сейчас нет возможности управлять Ledger анонимно», — сообщил REKTBuildr.
Его попытка отключить дистанционное отслеживание привела к поломке приложения.
Исследователь рекомендовал не устанавливать последнее обновление прошивки Ledger Live, поскольку не уверен, какая еще информация может передаваться на центральные сервера компании.
«У них есть функция восстановления, которая извлекает приватные ключи из защищенного чипа. Как мы можем быть уверены, что эти ключи не будут каким-то образом “случайно” прочитаны?», — задается вопросом REKTBuildr.
Он также призвал разработчиков предоставить продвинутым пользователям аппаратных кошельков возможность работать полностью в автономном режиме, не связываясь с их серверами.
Напомним, 14 декабря команда Ledger сообщила о Для просмотра ссылки Войди
В результате инцидента ущерб пользователей составил Для просмотра ссылки Войди
- Источник новости
- forklog.com