Ledger Live отслеживает пользователей, говорит разработчик приложения и защитник конфиденциальности

Программное обеспечение Ledger Live отслеживает своих пользователей и накапливает данные о них, согласно отчету разработчика программного обеспечения под псевдонимом и защитника конфиденциальности REKTBuilder. Разработчик исследовал код Python программного обеспечения и предположительно обнаружил, что оно выполняет «проверку подлинного устройства» каждый раз, когда пользователь подключает свое устройство Ledger к компьютеру или телефону. По словам REKTBuilder, в этой проверке перечислены все приложения, установленные на устройстве, что позволяет Ledger узнать, какие сети использует владелец кошелька.

Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.

For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge

— REKTBuildr (@rektbuildr) December 27, 2023

REKTBuilder — исследователь под псевдонимом, который публикует сообщения на форумах Crypto.bi и в X (ранее Twitter).6 декабря они опубликовали отчет, в котором утверждается, что Ledger Live записывает балансы пользователей в криптовалюте. На следующий день они выпустили, как они утверждали, альтернативу Ledger Live с открытым исходным кодом, не содержащую трекеров, под названием «Lecce Libre».

REKTBuilder теперь утверждает, что обнаружил еще большую проблему конфиденциальности в Ledger Live. Согласно их сообщению от 27 декабря, они обнаружили, что несколько строк кода содержат фразу «подлинность проверки». Когда они добавили в этот код «отслеживание отпечатков», они обнаружили, что он не запускался в тот момент, когда программное обеспечение проверяло устройство. Разжигая любопытство, REKTBuilder продолжил расследование и обнаружил, что фактическая проверка встроена в подпрограмму listApps. Ledger может использовать эту проверку для определения времени и даты каждого момента, когда пользователь подключает свое устройство, утверждает REKTBuilder.

Связанный: Ledger объявляет об интеграции PayPal в США и позволяет пользователям покупать криптовалюту внутри приложения

Разработчик под псевдонимом попытался удалить код, но обнаружил, что это сломало программное обеспечение и сделало его непригодным для использования. Похоже, это означает, что никакая по-настоящему «бесплатная» версия Ledger Live не может быть создана.

«Я попробовал отключить удаленное отслеживание, но это невозможно, если вы это сделаете, оно сломается», — заявил REKTBuilder. «Это означает, что Ledger знает, что это вы, каждый раз, когда вы подключаете устройство».

Несмотря на предполагаемую проблему с конфиденциальностью, REKTBuilder заявил на X, что они по-прежнему используют Ledger Live, потому что «в родной #Avalanche нет другой аппаратной опции».

Коинтелеграф обратился к Леджеру за комментариями, но к моменту публикации не получил ответа.

Ledger — производитель аппаратных кошельков для криптовалют. Компания утверждает, что ее устройствами пользуются более 6 миллионов пользователей. В марте Ledger привлекла $109 млн капитала для дальнейшего расширения своей деятельности. В октябре компания выпустила дополнительный облачный инструмент восстановления для пользователей, которые боялись потерять свои секретные ключи.