Программное обеспечение Ledger Live отслеживает своих пользователей и накапливает данные о них, согласно отчету разработчика программного обеспечения и защитника конфиденциальности REKTBuilder. Разработчик исследовал код Python программного обеспечения и предположительно обнаружил, что оно выполняет «проверку подлинного устройства» каждый раз, когда пользователь подключает свое устройство Ledger к компьютеру или телефону. По словам REKTBuilder, в этой проверке перечислены все приложения, установленные на устройстве, что позволяет Ledger узнать, какие сети использует владелец кошелька.
«Ledger Live встраивает проверку подлинности в процедуру листинга приложений. На самом деле они всегда проверяют ваше устройство при установке или обновлении приложений и прошивки. Я удалил большую часть отслеживания в Lecce Libre, но они все равно отслеживают вас.
Последние пару дней я пытался…
– пишет REKTBuildr (@rektbuildr) 27 декабря 2023 г.
REKTBuilder — исследователь под псевдонимом, который публикует сообщения на форумах Crypto.bi и в X (ранее Twitter). 6 декабря он опубликовал отчет, в котором утверждается, что Ledger Live записывает криптовалютные балансы пользователей. На следующий день он выпустил, как он утверждает, альтернативу Ledger Live с открытым исходным кодом, не содержащую трекеров, под названием «Lecce Libre».
REKTBuilder теперь утверждает, что обнаружил еще большую проблему конфиденциальности в Ledger Live. Согласно его сообщению от 27 декабря, он обнаружил, что несколько строк кода содержат фразу «подлинность проверки». Когда он добавил в этот код «отслеживание отпечатков», он обнаружил, что он не запускался в тот момент, когда программное обеспечение проверяло устройство. Движимый любопытством, REKTBuilder продолжил расследование и обнаружил, что фактическая проверка встроена в подпрограмму listApps. Ledger может использовать эту проверку для определения времени и даты каждого момента, когда пользователь подключает свое устройство, утверждает REKTBuilder.
Разработчик под псевдонимом попытался удалить код, но обнаружил, что это сломало программное обеспечение и сделало его непригодным для использования. Похоже, это означает, что никакая по-настоящему «бесплатная» версия Ledger Live не может быть создана.
«Я попробовал отключить удаленное отслеживание, но это невозможно, если вы это сделаете, оно сломается, — заявил REKTBuilder. — Это означает, что Ledger знает, что это вы, каждый раз, когда вы подключаете устройство».
Несмотря на предполагаемую проблему с конфиденциальностью, REKTBuilder заявил на X, что он по-прежнему используют Ledger Live, потому что «в родном Avalanche нет другой аппаратной опции».
Ledger — производитель аппаратных криптокошельков. Компания утверждает, что ее устройствами пользуются более 6 миллионов пользователей. В марте компания Ledger привлекла $109 млн капитала для дальнейшего расширения своей деятельности. В октябре компания выпустила дополнительный облачный инструмент восстановления для пользователей, которые боятся потерять свои секретные ключи.