时间:2023-12-30|浏览:252
用戶喜愛的交易所
已有账号登陆后会弹出下载
开发商 Rektbuilder 表示,硬件钱包公司 Ledger 可以通过使用其钱包管理软件 Ledger Live 来跟踪设备中的用户身份和应用程序余额。 开发人员在开发 Lecce Libre(一种更轻、侵入性较小的硬件钱包软件)时发现了这种行为。
开发者称 Ledger Live 向 Ledger 发送用户信息
开发商 Rektbuilder 就硬件钱包制造商 Ledger 通过其钱包管理程序 Ledger Live 收到的信息发出了警报。 根据他的发现,该软件在安装或更新应用程序和固件时嵌入了对每个设备 ID 的检查。
目前正在开发“Lecce Libre”的开发人员警告说,删除此验证码会破坏该应用程序,这意味着必须强制使用它。 他说:
我尝试禁用远程跟踪,但这是不可能的,如果这样做,它就会崩溃。 这意味着每次您插入设备时,Ledger 都知道是您本人。
此前,他还报告称已删除了涉及资产余额网络调用的余额摘要详细信息。 Rektbuilder 表示,Ledger Live 发出了 2,000 次网络请求,要求“各种不必要的东西”,并已在 Lecce Libre 中将其删除。
他升级了他的担忧,强调由于可用的恢复功能允许检索设备中的私钥,没有人可以确定这些私钥没有被读取。
Ava Labs 创始人兼首席执行官 Emin Gün Sirer 也呼吁 Ledger 解决 Rektbuilder 提出的问题。 他强调,Ledger“应该能够确认或否认(1)这些说法是否属实,(2)是否有一种方法可以完全离线工作而无需跟踪,以及(3)是否可以从安全元件读取私钥。 ”
Ledger 最近面临一次导致用户损失 60 万美元资产的攻击,该公司已联系 Rektbuilder,Rektbuilder 报告说他们现在正在与钱包公司合作,以获得有关所提出问题的反馈。