В Ledger Live обнаружена функция отслеживания данных об аппаратных кошельках и установленных приложениях

Что произошло? ПО Ledger Live для аппаратных криптокошельков Ledger отслеживает данные о пользователях и установленных на их устройствах приложениях, об этом на своей странице в X сообщил разработчик под ником @rektbuildr по итогам исследования кода программы. По его словам, Ledger Live активирует проверку подлинности при взаимодействии с установленными на кошельке приложениями, что не позволяет анонимно использовать устройство.

Источник: Twitter.com

Что еще известно? Разработчик рассказал, что проверка подлинности устройства встроена в подпрограмму listApps, и при попытке отключения удаленного отслеживания программа начинает работать некорректно. Таким образом, компания Ledger фиксирует каждое включение устройства и знает, какие приложения на нем запускаются.

«Аппаратные кошельки должны работать на 100% автономно, без возможности связаться с ними извне. Безумие, что мы должны обсуждать это в 2023 году», — подчеркнул @rektbuildr.

Он также отметил, что недавно Ledger внедрила функцию восстановления закрытых ключей, части которых передаются на хранение третьим сторонам, и задался вопросом, каким образом компания может гарантировать, что эти данные защищены от чтения посторонними лицами.

Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код

Функция позволяет передать части seed-фразы на хранение третьим сторонам

Читать дальше

Разработчик подчеркнул, что не хочет разгонять панику (FUD), но при этом призвал не обновлять Ledger Live до более новой версии, если пользователей все устраивает в нынешней.

Он также считает, что Ledger должна позволить опытным пользователям работать с полностью автономными устройствами, сделав возможность использования Ledger Live опциональной.

Ранее в этом месяце хакеры совершили эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. Компания устранила уязвимость и заверила, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку.

Позднее Ledger сообщила, что пользователи потеряли $600 000 из-за уязвимости механизма слепой подписи. Компания обязалась возместить убытки и заменить механизм взаимодействия с DApps на полностью прозрачный к июню 2024 года.