Розробник REKTBuildr вивчив програмний код додатка Ledger Live і виявив, що ПЗ відстежує користувачів і накопичує про них дані.
Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.
For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge
— REKTBuildr ??? (@rektbuildr) December 27, 2023
За його словами, Ledger Live перевіряє кожен пристрій «на справжність» після встановлення застосунку або оновлення його прошивки. Ця функція вбудована в підпрограму listApps.
«[Розробники ПЗ] знають про кожне підключення вашого пристрою і які ще додатки встановлені на ньому. Тому зараз немає можливості керувати Ledger анонімно», — повідомив REKTBuildr.
Його спроба відключити дистанційне відстеження призвела до виходу додатка з ладу.
Дослідник рекомендував не встановлювати останнє оновлення прошивки Ledger Live, оскільки не впевнений, яка ще інформація може передаватися на центральні сервери компанії.
«У них є функція відновлення, яка витягує приватні ключі із захищеного чипа. Як ми можемо бути впевнені, що ці ключі не будуть якимось чином „випадково“ прочитані?», — ставить питання REKTBuildr.
Він також закликав розробників надати просунутим користувачам апаратних гаманців можливість працювати повністю в автономному режимі, не зв’язуючись з їхніми серверами.
Нагадаємо, 14 грудня команда Ledger повідомила про компрометацію бібліотеки ПЗ для децентралізованих додатків. Хакер зміг впроваджувати шкідливий код у їхні інтерфейси.
Унаслідок інциденту збитки користувачів становили близько $600 000.