Розробник виявив слідкування в програмному забезпеченні апаратного гаманця Ledger

Нещодавно розробник програмного забезпечення під ім'ям REKTBuilder викрив тривожну проблему конфіденційності в програмному забезпеченні апаратного гаманця Ledger Live, популярного інструмента для зберігання біткоїнів. Розробник докладно вивчив Python-код програми пристрою і виявив, що вона виконує "перевірку автентичності пристрою" кожного разу, коли користувач підключає свій гаманець Ledger до комп'ютера чи телефону. За словами REKTBuilder, ця перевірка розповсюджується на всі програми, встановлені на пристрої, що дозволяє Ledger отримувати інформацію про мережеву активність користувача.

REKTBuilder поділився своїми висновками у соціальних мережах і зазначив: "У Ledger Live вбудована перевірка під час процедури лістингу програм. Вони завжди перевіряють ваш пристрій під час встановлення, оновлення програм чи прошивки. Я видалив більшу частину коду для відстеження в Lecce Libre, але слідкування все одно відбувається."

На початку грудня REKTBuilder спочатку стверджував, що Ledger Live реєструє баланси користувачів криптовалют. Це призвело до створення альтернативи Ledger Live під назвою "Lecce Libre" з відкритим вихідним кодом, метою якої було позбавлення трекерів. Проте REKTBuilder тепер виявив більш серйозну проблему конфіденційності в Ledger Live.

Розробник виявив конкретні рядки коду з фразою "перевірка автентичності". Здивований, він додав фразу "відстеження відбитків" до цього коду і виявив, що пристрій не запускається під час перевірки. Це викликало підозри і побудило REKTBuilder подолати глибше.

Він виявив, що фактична перевірка вбудована в підпрограму listApps. За словами REKTBuilder, Ledger може використовувати цю перевірку для визначення часу та дати підключення користувацького пристрою. Спроби видалити цей код призвели до неробочого програмного забезпечення.

REKTBuilder зробив тривожне заявлення: "Я спробував вимкнути віддалене слідкування, але це неможливо. Якщо ви це зробите, гаманець перестане працювати. Це означає, що кожного разу, коли ви підключаєте свій пристрій, Ledger знає, що це ви і які програми ви встановили."

Важливо нагадати, що нещодавно компанія Ledger обіцяла компенсувати втрати користувачам, зазнані під час хакерського нападу на апаратні пристрої компанії. У жовтні Ledger офіційно запустив функцію відновлення фраз сиду криптогаманців, що викликало значну контроверсію в криптоспільноті.