开发商 Rektbuilder 表示,加密货币硬件钱包公司 Ledger 可以通过使用其钱包管理软件 Ledger Live 来跟踪用户身份、应用程序,甚至设备中的加密货币余额。开发人员在开发 Lecce Libre(一种更轻、侵入性较小的硬件钱包软件)时发现了这种行为。

开发者称 Ledger Live 向 Ledger 发送用户信息

开发商 Rektbuilder 就硬件钱包制造商 Ledger 通过其钱包管理程序 Ledger Live 收到的信息发出了警报。根据他的发现,该软件在安装或更新应用程序和固件时嵌入了对每个设备 ID 的检查。

目前正在开发“Lecce Libre”的开发人员警告说,删除此验证码会破坏该应用程序,这意味着必须强制使用它。他说:

“我尝试禁用远程跟踪,但这是不可能的,如果这样做,它就会崩溃。这意味着每次您插入设备时,Ledger 都知道是您本人。”

此前,他还报告称已删除了涉及资产余额网络调用的余额摘要详细信息。Rektbuilder 表示,Ledger Live 发出了 2,000 次网络请求,要求“各种不必要的东西”,并已在 Lecce Libre 中将其删除。

他升级了他的担忧,强调由于可用的恢复功能允许检索设备中的私钥,没有人可以确定这些私钥没有被读取。

Ava Labs 创始人兼首席执行官 Emin Gün Sirer 也呼吁Ledger 解决 Rektbuilder 提出的问题。他强调,Ledger“应该能够确认或否认(1)这些说法是否属实,(2)是否有一种方法可以完全离线工作而无需跟踪,以及(3)是否可以从安全元件读取私钥。”

Ledger 最近面临一次导致用户损失 60 万美元资产的攻击,该公司已联系Rektbuilder,Rektbuilder 报告说他们现在正在与钱包公司合作,以获得有关所提出问题的反馈。

您如何看待 Ledger Live 所谓的隐私问题?#Ledger  #隐私泄漏