Разработчик выявил слежку в программном обеспечении аппаратного кошелька Ledger

В последних событиях программист, известный как REKTBuilder, выявил тревожное нарушение конфиденциальности в программном обеспечении аппаратного кошелька Ledger Live, популярного инструмента для хранения Bitcoin. Разработчик провел анализ Python-кода программы устройства и обнаружил, что она выполняет "проверку подлинности устройства" каждый раз, когда пользователь подключает свой кошелек Ledger к компьютеру или телефону. По мнению REKTBuilder, эта проверка распространяется на все приложения, установленные на устройстве, что позволяет Ledger получать информацию о сетевой активности пользователя.

REKTBuilder поделился своими результатами в социальных сетях и отметил: "В Ledger Live встроена проверка во время процедуры листинга приложений. Они всегда проверяют ваше устройство при установке, обновлении приложений или прошивке. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка продолжается."

В начале декабря REKTBuilder первоначально утверждал, что Ledger Live регистрирует балансы пользователей криптовалют. Это привело к созданию альтернативы Ledger Live под названием "Lecce Libre" с открытым исходным кодом, целью которой было избавиться от трекеров. Теперь REKTBuilder обнаружил более серьезное нарушение конфиденциальности в Ledger Live.

Разработчик обнаружил строки кода с фразой "проверка подлинности", и, добавив фразу "отслеживание отпечатков" к этому коду, он выяснил, что устройство не запускается во время этой проверки. Это вызвало подозрения и побудило REKTBuilder продолжить исследование.

Он выяснил, что фактическая проверка встроена в подпрограмму listApps. По мнению REKTBuilder, Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства. Попытки удалить этот код привели к неработоспособности программного обеспечения.

REKTBuilder сделал тревожное заявление: "Я попытался отключить удаленное отслеживание, но это невозможно. Если вы это сделаете, кошелек перестанет работать. Это означает, что каждый раз, когда вы подключаете свое устройство, Ledger узнает, что это вы и какие приложения у вас установлены."

Следует напомнить, что недавно компания Ledger пообещала возместить убытки пользователям, понесенные в результате хакерской атаки на аппаратные устройства компании. В октябре Ledger официально запустила функцию для восстановления сид-фраз криптокошельков, что вызвало значительные споры в сообществе криптовалют.