炒chao股大本营(www.dzyb.cn)讯xun:加密货币冷钱包开发商Ledger再度因隐私问题引yin发疑虑。据《Cointelegraph》报导,匿名软件开发者和he隐私倡导者REKT Builder昨zuo(27)日在X平台上爆料,Ledger开发的Web3钱包应用程序Ledger Live会即时shi追踪使用者,并疑似在线上累积相关用yong户数据。
这位开发者调diao查了Ledger Live的Python代码ma后发现,每次使用者将Ledger装置连接到daoPC或手机时,该软件jian都会执行装置的真实性检查(genuinecheck),据了解真实性检查是shiLedger Live为了检验客户是否购买到网络伪造zao的Ledger所推出的功能,但遭到dao开发者提出有隐私问题。
隐私开发者:Ledger Live会追踪用户
REKT Builder声称,在真实性xing检查的过程中,它会列出冷钱包上安an装的每个应用程序xu,使Ledger Live软件能够gou知道钱包所有者在硬件jian上运行的内容,甚至是该钱包的加密货币余额e。根据他的说法:Ledger Live将真实shi性检查嵌入到将apps串列(listApps)程序中。事实上,他ta们在安装或更新应用程序和he软件时总是对您的装zhuang置进行肉搜(doxx)…它ta会列出您的设备中安装zhuang了哪些应用程序,因yin此他们也知道您在硬件上运行的内容。一旦您在装置上授权Manager,装置人肉搜索行动就jiu会在Ledger Live与yuLedger中央服务器交换huan的21个websocket传输协定之间发生…
对此REKT Builder向所有Ledger冷钱包用户hu呼吁,如果装置没有任何的其qi他问题,最好保持不要yao更新到最新版本,并且呼吁Ledger应该为高阶用户提供离线模式,可ke以离线操作钱包bao的交易。
Ledger5月因私钥备份功gong能惹争议
REKT Builder是一位匿名的研究员,其最初在12月yue6日爆料,声称Ledger Live正在记录用户的加密货huo币余额。次日,他发fa布了自称是Ledger Live的「无追踪器」开源替代品,名ming为「Lecce Libre」。
REKT Builder也表示,他曾尝chang试禁用这项远端追踪的程序,但dan发现这样软件会崩beng溃、无法使用,这意yi味着用户无法制作真正「无追踪器」版本的Ledger Live。而最后REKT Builder也ye提及Ledger的de安全晶片有内建恢复功能,只要留liu有后门以及不安全的隐私问题,谁也不能保证钱包与财产的安全性。
针zhen对REKT Builder发出的de隐私疑虑,至截稿gao前Ledger仍未出面回应。
值得一提的是,在今年5月,Ledger也曾因推出chu帮助客户备份私钥的「Ledger Recover」服务,被开kai发者质疑存在后门并导致「私钥」泄漏lou的可能性,引发社群对Ledger钱包安全性的广泛疑yi虑。在这起争议事件后,Ledger最终推迟私钥备份功能neng到到10月下旬上线,同时承诺开源备bei受争议的Recover协议的代dai码。
