Inwigilacja użytkowników portfela sprzętowego Ledger

Kolejna afera związana z portfelami Ledger

Twórca oprogramowania posługujący się pseudonimem REKTBuilder odkrył, że oprogramowanie portfela sprzętowego Ledger Live śledzi swoich użytkowników i zbiera ich dane. REKTBuilder zbadał kod Pythona oprogramowania urządzenia i zasugerował, że przeprowadza on „uwierzytelnianie urządzenia” za każdym razem, gdy użytkownik łączy portfel Ledger z komputerem lub telefonem.

Według REKTBuilder wszystkie aplikacje zainstalowane na urządzeniu przechodzą tę kontrolę, dzięki czemu Ledger może dowiedzieć się, z jakich sieci korzysta właściciel portfela.

„Ledger Live ma wbudowaną weryfikację podczas procesu wystawiania aplikacji na listę. Zawsze sprawdzają Twoje urządzenie podczas instalacji, aktualizacji aplikacji lub aktualizacji oprogramowania sprzętowego. Usunąłem większość kodu śledzącego w Lecce Libre, ale inwigilacja nadal trwa” – napisał deweloper w sieci społecznościowej X.

Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.

For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge

— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 27, 2023

Na początku grudnia REKTBuilder ogłosił, że Ledger Live rejestruje salda kryptowalut użytkowników. Później wydano otwartą, pozbawioną trackerów alternatywę dla Ledger Live o nazwie „Lecce Libre”.

Teraz REKTBuilder twierdzi, że odkrył poważniejszy problem prywatności w Ledger Live. Dowiedział się, że kilka linii kodu zawierało frazę „weryfikacja autentyczności” (weryfikacja autentyczności). Kiedy dodał do zmienił kod, urządzenie się nie uruchomiło.

Odkrył, że faktyczne sprawdzanie jest wbudowane w procedurę listApps. Ledger może wykorzystać tę kontrolę do ustalenia godziny i daty podłączenia urządzenia użytkownika, twierdzi REKTBuilder.

Deweloper podjął próbę usunięcia kodu, co spowodowało, że oprogramowanie stało się bezużyteczne.

„Próbowałem wyłączyć zdalne śledzenie, ale nie jest to możliwe. Jeśli to zrobisz, portfel się zepsuje. Oznacza to: za każdym razem, gdy podłączasz urządzenie, Ledger wie, że to Ty i jakie aplikacje zainstalowałeś” – napisał REKTBuilder.

Przypomnijmy, że Ledger obiecał niedawno pokrycie strat poniesionych przez użytkowników w wyniku ataku hakerskiego na urządzenia sprzętowe firmy. W październiku Ledger oficjalnie uruchomił funkcję odzyskiwania frazy seed portfela kryptowalutowego , której część jest w posiadaniu zewnętrznych posiadaczy, a funkcja ta wywołała wiele kontrowersji w społeczności kryptograficznej.