2023-12-28 15:36:21
加密货币冷钱包开发商Ledger再度因隐私问题引发疑虑。据《Cointelegraph》报导,匿名软体开发者和隐私倡导者REKTBuilder昨(27)日在X平台上爆料,Ledger开发的Web3钱包应用程式Ledger Live会即时追踪使用者,并疑似在线上累积相关用户数据。
这位开发者调查了Ledger Live的Python程式码后发现,每次使用者将Ledger装置连接到PC或手机时,该软体都会执行装置的真实性检查(genuine check),据了解真实性检查是Ledger Live为了检验客户是否购买到网路伪造的Ledger所推出的功能,但遭到开发者提出有隐私问题。
隐私开发者:Ledger Live会追踪用户
REKTBuilder声称,在真实性检查的过程中,它会列出冷钱包上安装的每个应用程式,使Ledger Live软体能够知道钱包所有者在硬体上运行的内容,甚至是该钱包的加密货币余额。根据他的说法:“Ledger Live将真实性检查嵌入到将apps串列(listApps)程序中。事实上,他们在安装或更新应用程式和韧体时总是对您的装置进行肉搜(doxx)…它会列出您的设备中安装了哪些应用程序,因此他们也知道您在硬体上运行的内容。一旦您在装置上授权Manager,装置人肉搜寻行动就会在Ledger Live与Ledger中央伺服器交换的21个websocket传输协定之间发生…”
对此REKTBuilder向所有Ledger冷钱包用户呼吁,如果装置没有任何的其他问题,最好保持不要更新到最新版本,并且呼吁Ledger应该为高阶用户提供离线模式,可以离线操作钱包的交易。
Ledger5月因私钥备份功能炎上
REKT Builder是一位匿名的研究员,其最初在12月6日爆料,声称Ledger Live正在记录用户的加密货币余额。次日,他发布了自称是Ledger Live的“无追踪器”开源替代品,名为“LecceLibre」。
REKT Builder也表示,他曾尝试禁用这项远端追踪的程序,但发现这样软体会崩溃、无法使用,这意味着用户无法制作真正“无追踪器”版本的Ledger Live。而最后REKTBuilder也提及Ledger的安全晶片有内建恢复功能,只要留有后门以及不安全的隐私问题,谁也不能保证钱包与财产的安全性。
针对REKT Builder发出的隐私疑虑,至截稿前Ledger仍未出面回应。
值得一提的是,在今年5月,Ledger也曾因推出帮助客户备份私钥的“Ledger Recover”服务,被开发者质疑存在后门并导致“私钥”泄漏的可能性,引发社群对Ledger钱包安全性的广泛疑虑。在这起炎上事件后,Ledger最终推迟私钥备份功能到到10月下旬上线,同时承诺开源备受争议的Recover协议的程式码。
好文章,需要你的鼓励
Copyright © 2018-2022 211COIN版权所有.