Ledger Live śledzi swoich użytkowników. Jakie dane zapisuje to oprogramowanie?
Producent portfeli sprzętowych ma za sobą ciężki rok. W jego trakcie doszło do wielu poważnych “wtop” wizerunkowych tej firmy, a dwa tygodnie temu dokonano ataku na jego złączę, z którego korzystało wiele DAppsów. Ukoronowaniem serii problemów Ledgera jednak może okazać się odkrycie, że firma śledzi swoich użytkowników.
Pewien programista przeprowadził dochodzenie dotyczące tego, czy oprogramowanie od francuskiego producenta portfeli sprzętowych – Ledger Live – zbiera wrażliwe dane swoich użytkowników. Okazało się, że po części tak jest. Osoba podpisująca się na X jako Rekt Builder twierdzi, że znalazła dowód na to, że system Ledgera tak naprawdę śledzi każdy ruch użytkowników. Jakie informacje przetwarza dalej?
Co Ledger chce wiedzieć o swoich klientach?
W dniu 27 grudnia wspomniany badacz, który specjalizuje się w kwestiach ochrony naszej prywatności w sieci, opublikował na X długi wpis zawierający informacje dotyczące jego ostatniego odkrycia.
Jak ustalił po dogłębnej analizie kodu oprogramowania Phytona, gdy podłączamy nasze zewnętrzne portfele do komputerów lub innych urządzeń, Ledger Live rejestruje informacje odnośnie aplikacji, jakie na nich posiadamy. Jak twierdzi Rekt Builder, dotyczy to także portfeli kryptowalut, bowiem system zyskuje także dostęp do tego, jakie cyfrowe aktywa się w nich znajdują.
Jakie jeszcze dane zbiera Ledger Live? Przede wszystkim to, czy nasze urządzenie jest oryginalne, po czym wysyła tę informację do serwerów Ledgera. Przekazywane dane obejmują m.in. numer seryjny urządzenia i wersję jego oprogramowania sprzętowego.
W tej sytuacji jesteśmy już nieco zagrożeni, bowiem nie mamy wpływu na bezpieczeństwo serwerów tej firmy, tak więc w przypadku ich zhackowania, ktoś może dobrać się do informacji odnośnie tego, jak wygląda saldo HODLowanych przez nas kryptowalut.
Programista napisał również, że nie jest możliwe wyłączenie funkcji zdalnego śledzenia w Ledger Live. Przekazał, że podjął oczywiście taką próbę, ale zatrzymał się w momencie, gdy zorientował się, że doprowadzi to do uszkodzenia oprogramowania. To ma sugerować, że producent portfeli sprzętowych celowo wykonał taki zabieg.
Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.
For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge
— REKTBuildr 🔺 (🚫,🥶) (@rektbuildr) December 27, 2023
Festiwal kontrowersji dot. Ledgera
W powyższej sprawie francuska firma nie wydała jak na razie żadnego oświadczenia, w którym odnosiłaby się do tych zarzutów.
Ostatnio natomiast deklarowała większe skupienie się na kwestiach bezpieczeństwa po tym, jak dokonano kradzieży 600 tys. dolarów w następstwie zhackowania biblioteki Ledgera.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
W maju tego roku natomiast było głośno w branży kryptowalut odnośnie kontrowersyjnej usługi – Ledger Recover – która oferowała podział kluczy prywatnych na 3 części, z czego jednej z nich strzegłaby właśnie ta firma. Następstwie pojawiły się podejrzenia, że system tych portfeli sprzętowych ma backdoora po tym, jak taką sugestię rzucił jeden z pracowników działu supportu klienta.
Wróćmy jeszcze do 2022 roku, gdy Ledger został oskarżony o zbieranie danych o aktywności użytkowników. Dotyczyło to odwiedzanych przez nich witryn internetowych oraz kryptowalut, którymi obracali. Producent wtedy oficjalnie przeprosił za tego typu praktyki i obiecał, że dołoży wszelkich starań, by to się nie powtórzyło. Jak widać, tej obietnicy nie dotrzymał jak należy.
Aktualnie brak komentarzy.