В Ledger Live обнаружена функция отслеживания данных об аппаратных кошельках и установленных приложениях
Устройство активирует проверку подлинности при взаимодействии с приложениями
28.12.2023 - 08:57
592
4 мин
0
Что произошло? ПО Ledger Live для аппаратных криптокошельков Ledger отслеживает данные о пользователях и установленных на их устройствах приложениях, об этом на своей странице в X сообщил разработчик под ником @rektbuildr по итогам исследования кода программы. По его словам, Ledger Live активирует проверку подлинности при взаимодействии с установленными на кошельке приложениями, что не позволяет анонимно использовать устройство.
Что еще известно? Разработчик рассказал, что проверка подлинности устройства встроена в подпрограмму listApps, и при попытке отключения удаленного отслеживания программа начинает работать некорректно. Таким образом, компания Ledger фиксирует каждое включение устройства и знает, какие приложения на нем запускаются.
«Аппаратные кошельки должны работать на 100% автономно, без возможности связаться с ними извне. Безумие, что мы должны обсуждать это в 2023 году», — подчеркнул @rektbuildr.
Он также отметил, что недавно Ledger внедрила функцию восстановления закрытых ключей, части которых передаются на хранение третьим сторонам, и задался вопросом, каким образом компания может гарантировать, что эти данные защищены от чтения посторонними лицами.
Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код
Функция позволяет передать части seed-фразы на хранение третьим сторонам
Разработчик подчеркнул, что не хочет разгонять панику (FUD), но при этом призвал не обновлять Ledger Live до более новой версии, если пользователей все устраивает в нынешней.
Он также считает, что Ledger должна позволить опытным пользователям работать с полностью автономными устройствами, сделав возможность использования Ledger Live опциональной.
Ранее в этом месяце хакеры совершили эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. Компания устранила уязвимость и заверила, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку.
Позднее Ledger сообщила, что пользователи потеряли $600 000 из-за уязвимости механизма слепой подписи. Компания обязалась возместить убытки и заменить механизм взаимодействия с DApps на полностью прозрачный к июню 2024 года.
Полезный материал?
Рынки
Отток сохраняется на протяжении четырех недель
7 мая 2024 г.
Рынки
На момент получения активы оценивались в $630 000
6 мая 2024 г.
Происшествия
В адрес Роджера Вера выдвинули обвинения в неуплате налогов
1 мая 2024 г.
Майнинг
После публикации финансового отчета акции компании прибавили 5%
30 апр. 2024 г.
Рынки
Ранее комиссия предупредила разработчика о потенциальных принудительных действиях
29 апр. 2024 г.
Рынки
Средства могут быть изъяты правоохранителями из-за связи с незаконной деятельностью
26 апр. 2024 г.