Охранники вашего электронного золота: как аппаратные кошельки Ledger не заметили «тень» за спиной пользователей

Разработчик программного обеспечения под псевдонимом REKTBuilder обнаружил, что приложение Ledger Live, предназначенное для управления аппаратными кошельками Ledger для хранения биткоинов и других криптовалют, осуществляет слежку за своими пользователями, собирая информацию о действиях, выполняемых с устройством.

REKTBuilder проанализировал исходный код на Python, используемый в Ledger Live, и выявил, что во время использования аппаратного кошелька программа проводит так называемую «проверку подлинности устройства». Это означает, что каждый раз при подключении кошелька к компьютеру или телефону, Ledger автоматически проверяет, какие приложения установлены на устройстве, что позволяет компании узнавать, какие сети и сервисы использует владелец кошелька.

REKTBuilder обнаружил строки кода, которые выполняют функцию «genuine check» (проверка подлинности). При попытке добавить в код отладочные сообщения «tracing prints» (отслеживание отпечатков), он заметил, что кошелек перестал работать, что вызвало его дальнейшее изучение проблемы. Исследование показало, что осуществляемая проверка встроена в вспомогательную функцию listApps и позволяет Ledger фиксировать время и дату подключения пользовательских устройств.

Когда разработчик попытался исключить компоненты, связанные с отслеживанием, из программного обеспечения, приложение перестало функционировать. Это привело к выводу, что удаление трекеров делает кошелек непригодным к использованию и что Ledger получает уведомление о каждом подключении устройства и установленных на нем приложениях.

В ответ на выявленные проблемы конфиденциальности REKTBuilder создал версию Ledger Live с открытым кодом под названием «Lecce Libre», в которой отсутствуют трекеры и слежка за пользователями.

Отметим также, что компания Ledger недавно заявила о намерении компенсировать пользовательские убытки, понесенные в результате хакерской атаки на аппаратные кошельки. В октябре Ledger запустила услугу восстановления сид-фразы для криптокошелька, которая хранит часть ключа на стороне других лиц, вызвав дискуссии в криптосообществе о безопасности и приватности.

Оцените статью
Биткоин Блог / и всё о Биткоине