Експерт повідомив про неможливість анонімного використання додатка Ledger Live
Розробник REKTBuildr вивчив програмний код додатка Ledger Live і виявив, що ПЗ відстежує користувачів і накопичує про них дані.
За його словами, Ledger Live перевіряє кожен пристрій «на справжність» після встановлення застосунку або оновлення його прошивки. Ця функція вбудована в підпрограму listApps.
«[Розробники ПЗ] знають про кожне підключення вашого пристрою і які ще додатки встановлені на ньому. Тому зараз немає можливості керувати Ledger анонімно», — повідомив REKTBuildr.
Його спроба відключити дистанційне відстеження призвела до виходу додатка з ладу.
Дослідник рекомендував не встановлювати останнє оновлення прошивки Ledger Live, оскільки не впевнений, яка ще інформація може передаватися на центральні сервери компанії.
«У них є функція відновлення, яка витягує приватні ключі із захищеного чипа. Як ми можемо бути впевнені, що ці ключі не будуть якимось чином „випадково“ прочитані?», — ставить питання REKTBuildr.
Він також закликав розробників надати просунутим користувачам апаратних гаманців можливість працювати повністю в автономному режимі, не зв’язуючись з їхніми серверами.
Нагадаємо, 14 грудня команда Ledger повідомила про компрометацію бібліотеки ПЗ для децентралізованих додатків. Хакер зміг впроваджувати шкідливий код у їхні інтерфейси.
Унаслідок інциденту збитки користувачів становили близько $600 000.