Egyre nagyobb felháborodást vált ki a Ledger a közösség részéről

Pár nappal ezelőtt a hardvertárca-szolgáltató Ledger Twitter oldalán egy olyan bejegyzés jelent meg, amelyben azt olvashattuk, hogy a vállalatnak lehetséges olyan firmwaret írnia, amely képes megszerezni a felhasználók privát kulcsait. A sok kérdést felvető tweetet a Ledger nem sokkal később törölte, azt állítva, hogy azt rossz megfogalmazással egy ügyfélszolgálati munkatársuk tette közzé. Az eset nagy felháborodást váltott ki a felhasználók körében, és a vállalat most arra törekszik, hogy megmagyarázza a történteket.

Érthető a közösség felháborodása

„Technikailag mindig is lehetséges volt olyan firmwaret írni, amely megkönnyíti a kulcsok kivonását. Mindig is bíztatok a Ledgerben, hogy nem telepít ilyen firmwaret, akár tudtatok róla, akár nem.”olvasható a tweetben.

A május 17-i bejegyzés a Ledger Supporttól, amelyet később töröltek. Forrás: Cointelegraph.

A felháborodás azonban ezen poszt megjelenése előtt már elkezdődött. Egy új frissítés, amely lehetővé teszi a Ledger számára, hogy biztonsági másolatot készítsen a seed kifejezésekről, szintén nagy port kavart. Az újítás emellett regisztrációt is igényel, amely értelmében a felhasználóknak be kell küldeniük a hatóságok által kiállított személyi igazolványuk másolatát is.

A Ledger válasza

Charles Guillemet, a Ledger technológiai vezetője tisztázta, hogy a tárca operációs rendszere minden alkalommal megköveteli a felhasználó beleegyezését, amikor az „megérinti” a privát kulcsot. Más szóval a rendszer nem másolhatja az eszköz privát kulcsát a felhasználó beleegyezése nélkül.

 

A vezérigazgató szerint a tárca firmwareje vagy operációs rendszere nyílt platformnak számít abban az értelemben, hogy bárki írhat saját alkalmazást, és betöltheti azt az eszközre. Azonban mielőtt a Ledger Manager szoftverben engedélyezik az alkalmazások használatát, a csapat először megvizsgálja azokat, hogy nem rosszindulatúak és nem tartalmaznak biztonsági hiányosságokat.

A Ledger szerint még egy alkalmazás jóváhagyása után sem engedi meg az operációs rendszer, hogy a privát kulcsot olyan hálózaton használja, amelyre eredetileg nem szánták. Példaként hozták fel, hogy a Bitcoin-alkalmazások nem használhatják az eszköz Ethereum privát kulcsait, és fordítva is igaz ez. Ezenkívül minden alkalommal, amikor egy applikáció egy privát kulcsot használ, a vállalat szerint az operációs rendszer megköveteli a felhasználóktól, hogy megerősítsék a kulcs használatához való hozzájárulásukat. Ez arra utal, hogy a Ledgerre telepített harmadik féltől való alkalmazások nem használhatják egy személy privát kulcsait anélkül, hogy a felhasználó előzetesen beleegyezett volna.

Guillemet azt is megerősítette, hogy ez a rendszer a jelenlegi operációs rendszer része. Ezt elméletileg meg lehetne változtatni, ha a Ledger tisztességtelenné válna, vagy ha egy támadó valahogyan átvenné az irányítást a vállalat számítógépei felett.

Eközben a riválisnak számító GridPlus hartvertárca felajánlotta firmwarejének nyílt forráskódúvá tételét, hogy megpróbálja magához csábítani a Ledger-felhasználókat. Guillemet azonban kijelentette, hogy a firmware nyílt forráskódja nem nyújtana védelmet a tisztességtelen tárcaszolgáltatókkal szemben. Ezt azzal indokolta, hogy a felhasználó nem tudná, hogy a közzétett kód valóban fut-e az eszközön.