By Bitcoin.com - 4 месяцы таму - Час чытання: 2 хвіліны
Распрацоўшчык папярэджвае, што праграмнае забеспячэнне Ledger Live можа адсочваць ідэнтыфікатары карыстальнікаў, праграмы і балансы
Кампанія Rektbuilder, распрацоўшчык, заявіла, што кампанія Ledger, якая займаецца стварэннем апаратных кашалькоў для криптовалют, можа адсочваць ідэнтыфікацыйныя дадзеныя карыстальнікаў, прыкладанні і нават баланс криптовалюты на прыладзе з дапамогай Ledger Live, праграмнага забеспячэння для кіравання кашалькамі. Распрацоўшчык выявіў такія паводзіны падчас працы над Lecce Libre, больш лёгкім і менш дакучлівым праграмным забеспячэннем для апаратнага кашалька.
Распрацоўшчык сцвярджае, што Ledger Live адпраўляе інфармацыю пра карыстальніка ў Ledger
Распрацоўшчык Rektbuilder папярэдзіў аб інфармацыі, якую Ledger, вытворца апаратных кашалькоў, атрымлівае праз сваю праграму кіравання кашалькамі Ledger Live. Паводле яго высноваў, праграмнае забеспячэнне ўбудоўвае праверку ідэнтыфікатара кожнай прылады пры ўсталёўцы або абнаўленні праграм і прашыўкі.
Распрацоўшчык, які зараз працуе над «Lecce Libre», менш інтрузіўным і больш лёгкім дадаткам для кіравання апаратнымі кашалькамі Ledger, папярэдзіў, што выдаленне гэтага кода праверкі парушае працу прыкладання, што азначае, што яго выкарыстанне з'яўляецца абавязковым. Ён заявіў,:
Я спрабаваў адключыць дыстанцыйнае адсочванне, але гэта немагчыма, яно ламаецца, калі вы гэта зробіце. Гэта азначае, што Ledger ведае, што гэта вы кожны раз, калі вы падключаеце прыладу.
Раней у яго таксама было паведамляецца выдаліўшы дэталі зводкі балансу, якія ўключаюць сеткавыя выклікі для балансаў актываў. Rektbuilder заявіў, што Ledger Live зрабіў 2,000 сеткавых выклікаў для «ўсякага роду непатрэбных рэчаў», ужо выдаліўшы іх у Lecce Libre.
Ён выказаў сваю заклапочанасць, падкрэсліўшы, што з-за даступнай функцыі аднаўлення, якая дазваляе атрымаць прыватныя ключы ў прыладзе, ніхто не можа быць упэўнены, што яны не чытаюцца.
Эмін Гюн Сірэр, заснавальнік і генеральны дырэктар Ava Labs, таксама званы на Ledger для вырашэння праблем, прадстаўленых Rektbuilder. Ён падкрэсліў, што Ledger «павінен быць у стане пацвердзіць або абвергнуць (1), калі гэтыя сцвярджэнні праўдзівыя, (2) ці ёсць спосаб працаваць цалкам у аўтаномным рэжыме без адсочвання, і (3) ці можна счытваць прыватныя ключы з элемента бяспекі. »
Лэджэр, з якім нядаўна сутыкнуўся атакаваць у выніку чаго карыстальнікі страцілі актывы на 600,000 XNUMX долараў звязацца Rektbuilder, якія паведамілі, што цяпер супрацоўнічаюць з кампаніяй, якая займаецца кашалькамі, каб атрымаць водгукі па ўзнятых праблемах.
Што вы думаеце пра меркаваныя праблемы прыватнасці Ledger Live? Раскажыце нам у раздзеле каментарыяў ніжэй.
Арыгінальны крыніца: Bitcoin.com