Твитнуть
Разработчик под ником REKTBuilder изучил программный код приложения Ledger Live и обнаружил, что ПО отслеживает пользователей и собирает о них данные. Он исследовал код системы, написанной на Python, и предположил, что она проверяет подлинность устройства каждый раз, когда пользователь подключает кошелек к ПК или смартфону. REKTBuilder считает, что устройство соединяется с серверами компании и проверяет все приложения, загруженные на устройство, что, в свою очередь, никак не позволяет сохранять анонимность.
Недавно REKTBuilder высказал опасение, что Ledger Live записывает криптовалютные балансы пользователей. Следом было выпущено альтернативное Ledger Live ПО – Lecce Libre, имеющее открытый исходный код, в котором нет никаких трекеров. Исследователь отметил, что при удалении всего отслеживающего кода из Lecce Libre, устройство все равно продолжает отслеживать и проверять данные при перепрошивке, обновлении приложений и подключении к другим устройствам. Это означает, что “чистого” и бесплатного ПО для кошельков Ledger, которое не отслеживает пользователя, попросту не существует.
Теперь разработчик полагает, что у Ledger Live есть более серьезная проблема конфиденциальности. Он утверждает, что проверка устройства встроена в подпрограмму listApps. Кошелек запускает эту процедуру, чтобы установить время и дату подключения. После удаления соответствующего кода, устройство перестает работать. REKTBuilder отмечает, что подобные решения в коде противоречат тому, что аппаратные кошельки должны быть полностью автономны, без возможности подключиться к ним извне.
Дополнительно, REKTBuilder рассказал, что попытался отключить удаленное отслеживание, но оказалось, что сделать это невозможно. Таким образом при каждом подключении и использовании кошелька, Ledger знает когда и какие приложения были установлены. “Может ли компания гарантировать, что персональные данные пользователей, в том числе фрагменты закрытых ключей, надежно защищены от третьих лиц?”, – задается вопросом разработчик.
Одновременно исследователь подчеркнул, что не хочет наводить панику, но призывает пользователей не обновляться до новой версии Ledger Live, если их все устраивает в старой, поскольку не знает какие еще сведения приложение может передавать на сервера компании.
Недавно REKTBuilder высказал опасение, что Ledger Live записывает криптовалютные балансы пользователей. Следом было выпущено альтернативное Ledger Live ПО – Lecce Libre, имеющее открытый исходный код, в котором нет никаких трекеров. Исследователь отметил, что при удалении всего отслеживающего кода из Lecce Libre, устройство все равно продолжает отслеживать и проверять данные при перепрошивке, обновлении приложений и подключении к другим устройствам. Это означает, что “чистого” и бесплатного ПО для кошельков Ledger, которое не отслеживает пользователя, попросту не существует.
Теперь разработчик полагает, что у Ledger Live есть более серьезная проблема конфиденциальности. Он утверждает, что проверка устройства встроена в подпрограмму listApps. Кошелек запускает эту процедуру, чтобы установить время и дату подключения. После удаления соответствующего кода, устройство перестает работать. REKTBuilder отмечает, что подобные решения в коде противоречат тому, что аппаратные кошельки должны быть полностью автономны, без возможности подключиться к ним извне.
Дополнительно, REKTBuilder рассказал, что попытался отключить удаленное отслеживание, но оказалось, что сделать это невозможно. Таким образом при каждом подключении и использовании кошелька, Ledger знает когда и какие приложения были установлены. “Может ли компания гарантировать, что персональные данные пользователей, в том числе фрагменты закрытых ключей, надежно защищены от третьих лиц?”, – задается вопросом разработчик.
Одновременно исследователь подчеркнул, что не хочет наводить панику, но призывает пользователей не обновляться до новой версии Ledger Live, если их все устраивает в старой, поскольку не знает какие еще сведения приложение может передавать на сервера компании.