Власники криптовалютних гаманців Ledger могли стати жертвами кібершпигунства

Розробник програмного забезпечення, відомий під псевдонімом REKTBuilder, з’ясував, що софт апаратного гаманця для зберігання біткоїнів Ledger Live відстежує своїх користувачів і збирає їхні дані.

REKTBuilder досліджував код Python програмного забезпечення пристрою і припустив, що воно виконує «перевірку автентичності пристрою» щоразу, коли користувач під'єднує гаманець Ledger до комп’ютера або телефону. За словами фахівця, цю перевірку проходять усі додатки, встановлені на пристрої, тому Ledger може дізнатися, які мережі використовує власник гаманця.

«У Ledger Live вбудована перевірка під час процедури лістингу додатків. Вони завжди перевіряють ваш пристрій під час встановлення, оновлення застосунків або прошивки. Я видалив більшу частину відстежувального коду в Lecce Libre, але стеження все одно ведеться», — написав розробник у соцмережі Х.

На початку грудня REKTBuilder заявив, що Ledger Live записує криптовалютні баланси користувачів. Пізніше було випущено альтернативу Ledger Live з відкритим вихідним кодом без трекерів під назвою «Lecce Libre». Тепер же програміст стверджує, що виявив серйознішу проблему конфіденційності в Ledger Live. Він з’ясував, що кілька рядків коду містять фразу «genuine check» (справжність перевірки). Коли він додав у цей код фразу «tracing prints» (відстеження відбитків), то виявив, що пристрій не запускався під час його перевірки. Це зацікавило розробника, і REKTBuilder продовжив розслідування.

Спеціаліст виявив, що фактична перевірка вбудована в підпрограму listApps. Ledger може використовувати цю перевірку для визначення часу і дати підключення користувацького пристрою, стверджує REKTBuilder. Розробник спробував видалити код, унаслідок чого програмне забезпечення «зламалося» і стало непридатним для використання.

«Я спробував відключити віддалене відстеження, але це неможливо. Якщо ви це зробите, гаманець зламається. Це означає: при кожному підключенні вашого пристрою, Ledger знає, що це ви, і які додатки ви встановили», — заявив REKTBuilder.

Нагадаємо, що нещодавно компанія Ledger пообіцяла покрити збитки користувачів, завдані внаслідок хакерської атаки на апаратні пристрої компанії. У жовтні Ledger офіційно запустила функцію відновлення сід-фрази криптогаманця, частини якої зберігаються сторонніми власниками, і ця функція викликала у криптоспільноті безліч суперечок.