За пользователями популярного аппаратного кошелька Ledger ведется слежка. К такому выводу пришел разработчик ПО под псевдонимом REKTBuilder.
Специалист рассказал, что исследовал код Python программного обеспечения кошелька. Предположительно, каждый раз при подключении устройства в персональному компьютеру или телефону, Ledger проводит «проверку подлинности». Причем проверку проходят все приложения, установленные на устройстве, поэтому Ledger может узнать, какие сети и программы использует владелец кошелька.
6 декабря REKTBuilder опубликовал отчет, в котором утверждалось, что Ledger Live Ledger (ПО, которое позволяет настраивать устройства Ledger и взаимодействовать с криптоактивами) фиксиррует криптовалютные балансы пользователей. На следующий день бла выпущена альтернативная версия Ledger Live с открытым исходным кодом «без трекера» под названием Lecce Libre. Однако теперь обнаружена еще более серьезная проблема конфиденциальности в Ledger Live: «Ledger Live осуществляет проверку подлинности ваших приложений. Это происходит при установке или обновлении приложений и прошивки. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка все равно ведется», — написал разработчик.
Разработчик попытался удалить код, но обнаружил, что это сделало его непригодным для использования. Похоже, это означает, что по-настоящему свободной от слежки версии Ledger Live создать невозможно.
«Я пытался отключить удаленное отслеживание, но это невозможно, оно ломается, если вы это сделаете, — заявил REKTBuilder. — Это означает, что Ledger знает, что это вы, каждый раз, когда вы подключаете устройство».
В середине декабря Ledger сообщила об инциденте в сфере безопасности. Код сервиса авторизации через криптокошелек Ledger, который широко применяется в децентрализованных приложениях (dApp), подвергся атаке. У бывшего сотрудника Ledger угнали аккаунт в сервисе NPMJS при помощи фишинговой атаки. В результате атаки на сервисы компании пользователи кошельков потеряли $600 000.
▼
