A Ledger ezennel végleg eljátszhatta a felhasználók bizalmát
A világ legnagyobb hardvertárca-gyártója, a Ledger hatalmas adatgyűjtési műveletét fedezték fel. Nehezen érthető okokból a Ledger Live privát felhasználói adatokat továbbít a Ledger elemző szolgáltatójának. Ezzel súlyos támadásoknak teszi ki a felhasználók eszközeit.
A Ledger Live a hivatalos szoftver a Ledger bármely hardveres pénztárcájához való kapcsolódáshoz. A PC-felhasználók túlnyomó többsége letölti ezt a szoftvert a hardvertárca beállításához és a tranzakciók aláírásához. A kódját vizsgálva a REKTbuildr megállapította, hogy a felhasználói nyomkövetés a teljes szoftvercsomagba van beépítve. Ezt egy „gigantikus felhasználói nyomkövető rendszernek” nevezte.
Bár a Ledger Live privát kulcsokat, vagy helyreállítási mondatokat konkrétan nem küld a segment.io számára, rengeteg olyan információt küld a felhasználóról, amelyek zsarolási támadásoknak tehetik ki a felhasználókat.
Az alkalmazás a felhasználói adatokat a segment.io nevű szolgáltatásnak küldi. Ezek az adatok a Ledger pénztárcákban tárolt kriptovalutákra és NFT-kre vonatkozó információkat tartalmaznak.
A Ledger adattovábbításai által bármely segment.io hacker könnyen azonosíthat egy felhasználót, beleértve a kriptotevékenységeinek részleteit, és más, az eszközökre vonatkozó ijesztően részletes információkat.
A Ledger alapbeállításaiban rejtette el a funkciót
A Protos csapata megtalálta, hogy a Ledger Live beállításaiban van egy opció, amellyel legalább néhány ilyen analitikát ki lehet kapcsolni. A Ledger Live alapértelmezett beállításai szerint az analitika engedélyezése adatokat küld a „kattintásokról, oldallátogatásokról, átirányításokról, műveletekről (küldés, fogadás, zárolás stb.), az oldal végi görgetésekről, a telepítésről, eltárvolításról és az alkalmazás verziójáról, a számlák számáról, a kriptoeszközökről és műveletekről, a munkamenet időtartamáról, a Ledger eszköz típusáról és firmware-éről”.
A Ledger Live adatgyűjtője egy JSON objektum egy tulajdonságkulccsal. Ez annyit jelent, hogy minden egyes felhasználói azonosítót egy olyan kulcshoz párosít, amely a fiókot a felhasználó számítógépével azonosítja. Emellett képes elküldeni a segment.io fiókinformációkat is, beleértve a tárcában lévő digitális eszközök nevét és a felhasználók számítógépeire vonatkozó egyéb információkat.
A felhasználói adatokat hirdetőknek adhatja el
A gyanús funkciót felderítő REKTbuildr feltételezése szerint az adatgyűjtés valószínűsíthető kereskedelmi magyarázata az, hogy a Ledger az anonimizált adatokat harmadik fél hirdetőknek akarja továbbértékesíteni. Az előre csomagolt adatokat az adataggregátorok, például a Google, a Bluekai vagy az eXelate általában továbbértékesítik a hirdetőknek.
Egy másik opció, hogy az adatokat a Ledger fejlesztő munkatársai is felhasználhatják.
A REKTbuildr a közösség felé tett szívességből módosította a Ledger Live szoftverét, eltávolította a nyomkövető kódokat, és a javított szoftvert elérhetővé tette bárki számára.
A Ledger már többször is eljátszotta a felhasználók bizalmát
A hardvertárca-gyártó már korábban is megrengette a közösség bizalmát a hardvertárcáiban. Májusban bejelentette ellentmondásos Recover szolgáltatását, amely képes megfejteni a felhasználók privát kulcsait. Ezt a frissítést élőben jelentette be, megszüntetve az évekig tartó felfogást, miszerint a privát kulcsok soha nem hagyják el a hardvertárcát.
A vállalat történetének másik gyenge pontja az e-mail adatbázisa. A hackerek több millió felhasználó e-mail címét tették közzé, ami ahhoz vezetett, hogy a felhasználók valószínűleg adathalász-támadás keretében hamis pénztárcákat kaptak. A szakértők gyorsan figyelmeztetéseket tettek közzé.
Természetesen a Ledger a közösségi médiában nagyon keveset szólt az analitikai adatgyűjtésről. Az érdektelensége kevéssé meglepő a digitális eszközközösség számára.
Összefoglalva, a Ledger nyomon követi a felhasználói adatokat, valószínűsíthetően a saját dolgozói számára, vagy azért, hogy profitáljon a viszonteladásból. Szerencsére a felhasználóknak vannak alternatívái, beleértve a szoftver nyomkövető nélküli forkolt verzióit, vagy magának a hardveres pénztárcának a használatát anélkül, hogy egyáltalán telepítenék a Ledger Live szoftvert.