Експерт повідомив про неможливість анонімного використання додатка Ledger Live

Розробник REKTBuildr вивчив програмний код додатка Ledger Live і виявив, що ПЗ відстежує користувачів і накопичує про них дані.

За його словами, Ledger Live перевіряє кожен пристрій «на справжність» після встановлення застосунку або оновлення його прошивки. Ця функція вбудована в підпрограму listApps.

«[Розробники ПЗ] знають про кожне підключення вашого пристрою і які ще додатки встановлені на ньому. Тому зараз немає можливості керувати Ledger анонімно», — повідомив REKTBuildr.

Його спроба відключити дистанційне відстеження призвела до виходу додатка з ладу.

Дослідник рекомендував не встановлювати останнє оновлення прошивки Ledger Live, оскільки не впевнений, яка ще інформація може передаватися на центральні сервери компанії.

«У них є функція відновлення, яка витягує приватні ключі із захищеного чипа. Як ми можемо бути впевнені, що ці ключі не будуть якимось чином „випадково“ прочитані?», — ставить питання REKTBuildr.

Він також закликав розробників надати просунутим користувачам апаратних гаманців можливість працювати повністю в автономному режимі, не зв’язуючись з їхніми серверами.

Нагадаємо, 14 грудня команда Ledger повідомила про компрометацію бібліотеки ПЗ для децентралізованих додатків. Хакер зміг впроваджувати шкідливий код у їхні інтерфейси.

Унаслідок інциденту збитки користувачів становили близько $600 000.