В Ledger Live обнаружена функция отслеживания данных об аппаратных кошельках и установленных приложениях
Устройство активирует проверку подлинности при взаимодействии с приложениями
28.12.2023 - 08:57
760
4 мин
0
Что произошло? ПО Ledger Live для аппаратных криптокошельков Ledger отслеживает данные о пользователях и установленных на их устройствах приложениях, об этом на своей странице в X сообщил разработчик под ником @rektbuildr по итогам исследования кода программы. По его словам, Ledger Live активирует проверку подлинности при взаимодействии с установленными на кошельке приложениями, что не позволяет анонимно использовать устройство.
Что еще известно? Разработчик рассказал, что проверка подлинности устройства встроена в подпрограмму listApps, и при попытке отключения удаленного отслеживания программа начинает работать некорректно. Таким образом, компания Ledger фиксирует каждое включение устройства и знает, какие приложения на нем запускаются.
«Аппаратные кошельки должны работать на 100% автономно, без возможности связаться с ними извне. Безумие, что мы должны обсуждать это в 2023 году», — подчеркнул @rektbuildr.
Он также отметил, что недавно Ledger внедрила функцию восстановления закрытых ключей, части которых передаются на хранение третьим сторонам, и задался вопросом, каким образом компания может гарантировать, что эти данные защищены от чтения посторонними лицами.
Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код
Функция позволяет передать части seed-фразы на хранение третьим сторонам
Разработчик подчеркнул, что не хочет разгонять панику (FUD), но при этом призвал не обновлять Ledger Live до более новой версии, если пользователей все устраивает в нынешней.
Он также считает, что Ledger должна позволить опытным пользователям работать с полностью автономными устройствами, сделав возможность использования Ledger Live опциональной.
Ранее в этом месяце хакеры совершили эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. Компания устранила уязвимость и заверила, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку.
Позднее Ledger сообщила, что пользователи потеряли $600 000 из-за уязвимости механизма слепой подписи. Компания обязалась возместить убытки и заменить механизм взаимодействия с DApps на полностью прозрачный к июню 2024 года.
Полезный материал?
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.
Рынки
Показатель в 1,1 млрд долларов был достигнут после коррекции биткоина
6 дек. 2024 г.
Крипторегулирование
К началу января все открытые позиции и займы местных пользователей будут закрыты и погашены в автоматическом режиме
5 дек. 2024 г.