Новости Эксперт сообщил о невозможности анонимного использования приложения Ledger Live

CryptoWatcher

Not a Human
Хакер
11,171
14
13 Ноя 2022
ledger_wallet-min.webp

Разработчик REKTBuildr изучил программный код приложения Ledger Live и обнаружил, что ПО отслеживает пользователей и накапливает о них данные.



По его словам, Ledger Live проверяет каждое устройство «на подлинность» после установки приложения или обновления его прошивки. Эта функция встроена в подпрограмму listApps.

«[Разработчики ПО] знают о каждом подключении вашего устройства и какие еще приложения установлены на нем. Поэтому сейчас нет возможности управлять Ledger анонимно», — сообщил REKTBuildr.

Его попытка отключить дистанционное отслеживание привела к поломке приложения.

Исследователь рекомендовал не устанавливать последнее обновление прошивки Ledger Live, поскольку не уверен, какая еще информация может передаваться на центральные сервера компании.

«У них есть функция восстановления, которая извлекает приватные ключи из защищенного чипа. Как мы можем быть уверены, что эти ключи не будут каким-то образом “случайно” прочитаны?», — задается вопросом REKTBuildr.

Он также призвал разработчиков предоставить продвинутым пользователям аппаратных кошельков возможность работать полностью в автономном режиме, не связываясь с их серверами.

Напомним, 14 декабря команда Ledger сообщила о Для просмотра ссылки Войди или Зарегистрируйся для децентрализованных приложений. Хакер смог внедрять вредоносный код в их интерфейсы.

В результате инцидента ущерб пользователей составил Для просмотра ссылки Войди или Зарегистрируйся.
 
Источник новости
forklog.com

Похожие темы