一位隱私開發者在週四晚間爆料,知名加密貨幣冷錢包 Ledger 的 Web3 錢包應用程式 “Ledger Live” 會即時追蹤使用者並累積相關數據,包括所下載的 apps,甚至能追蹤用戶所連接冷錢包的加密貨幣餘額。
(前情提要:罵了也沒用!Ledger冷錢包堅持推出私鑰恢復服務「Ledger Recover」)
(背景補充:Ledger錢包玩火自焚?私鑰備份服務「Recover」遭砲轟,CEO嘴硬:用戶想要的)
加密貨幣冷錢包開發商 Ledger 再度因隱私問題引發疑慮。據《Cointelegraph》報導,匿名軟體開發者和隱私倡導者 REKTBuilder 昨(27)日在 X 平台上爆料,Ledger 開發的 Web3 錢包應用程式 Ledger Live 會即時追蹤使用者,並疑似在線上累積相關用戶數據。
這位開發者調查了 Ledger Live 的 Python 程式碼後發現,每次使用者將 Ledger 裝置連接到 PC 或手機時,該軟體都會執行裝置的真實性檢查(genuine check) ,據了解真實性檢查是 Ledger Live 為了檢驗客戶是否購買到網路偽造的 Ledger 所推出的功能,但遭到開發者提出有隱私問題。
隱私開發者:Ledger Live 會追蹤用戶
REKTBuilder 聲稱,在真實性檢查的過程中,它會列出冷錢包上安裝的每個應用程式,使 Ledger Live 軟體能夠知道錢包所有者在硬體上運行的內容,甚至是該錢包的加密貨幣餘額。根據他的說法:
Ledger Live 將真實性檢查嵌入到將 apps 串列(listApps)程序中。事實上,他們在安裝或更新應用程式和韌體時總是對您的裝置進行肉搜(doxx)…它會列出您的設備中安裝了哪些應用程序,因此他們也知道您在硬體上運行的內容。
一旦您在裝置上授權 Manager,裝置人肉搜尋行動就會在 Ledger Live 與 Ledger 中央伺服器交換的 21 個 websocket 傳輸協定之間發生…
對此 REKTBuilder 向所有 Ledger 冷錢包用戶呼籲,如果裝置沒有任何的其他問題,最好保持不要更新到最新版本,並且呼籲 Ledger 應該為高階用戶提供離線模式,可以離線操作錢包的交易。
Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.
For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 27, 2023
Ledger 5 月因私鑰備份功能炎上
REKTBuilder 是一位匿名的研究員,其最初在 12 月 6 日爆料,聲稱 Ledger Live 正在記錄用戶的加密貨幣餘額。 次日,他發布了自稱是 Ledger Live 的「無追蹤器」開源替代品,名為「Lecce Libre」。
REKTBuilder 也表示,他曾嘗試禁用這項遠端追蹤的程序,但發現這樣軟體會崩潰、無法使用,這意味著用戶無法製作真正「無追蹤器」版本的 Ledger Live。而最後REKTBuilder 也提及 Ledger 的安全晶片有內建恢復功能,只要留有後門以及不安全的隱私問題,誰也不能保證錢包與財產的安全性。
針對 REKTBuilder 發出的隱私疑慮,至截稿前 Ledger 仍未出面回應。
值得一提的是,在今年 5 月,Ledger 也曾因推出幫助客戶備份私鑰的「Ledger Recover」服務,被開發者質疑存在後門並導致「私鑰」洩漏的可能性,引發社群對 Ledger 錢包安全性的廣泛疑慮。在這起炎上事件後,Ledger 最終推遲私鑰備份功能到到 10 月下旬上線 ,同時承諾開源備受爭議的 Recover 協議的程式碼。
延伸閱讀:觀點》冷錢包Ledger安全嗎?兩大關鍵告訴你繼續用、還是換錢包
