[B4位]开发者警报 Ledger Live 软件

开发商 Rektbuilder 表示，硬件钱包公司 Ledger 可以通过使用其钱包管理软件 Ledger Live 来跟踪设备中的用户身份和应用程序余额。

开发人员在开发 Lecce Libre（一种更轻、侵入性较小的硬件钱包软件）时发现了这种行为。

开发者称 Ledger Live 向 Ledger 发送用户信息

开发商 Rektbuilder 就硬件钱包制造商 Ledger 通过其钱包管理程序 Ledger Live 收到的信息发出了警报。

根据他的发现，该软件在安装或更新应用程序和固件时嵌入了对每个设备 ID 的检查。

目前正在开发“Lecce Libre”的开发人员警告说，删除此验证码会破坏该应用程序，这意味着必须强制使用它。

他说：

我尝试禁用远程跟踪，但这是不可能的，如果这样做，它就会崩溃。

这意味着每次您插入设备时，Ledger 都知道是您本人。

此前，他还报告称已删除了涉及资产余额网络调用的余额摘要详细信息。

Rektbuilder 表示，Ledger Live 发出了 2,000 次网络请求，要求“各种不必要的东西”，并已在 Lecce Libre 中将其删除。

他升级了他的担忧，强调由于可用的恢复功能允许检索设备中的私钥，没有人可以确定这些私钥没有被读取。

Ava Labs 创始人兼首席执行官 Emin Gün Sirer 也呼吁 Ledger 解决 Rektbuilder 提出的问题。

他强调，Ledger“应该能够确认或否认（1）这些说法是否属实，（2）是否有一种方法可以完全离线工作而无需跟踪，以及（3）是否可以从安全元件读取私钥。 ”

Ledger 最近面临一次导致用户损失 60 万美元资产的攻击，该公司已联系 Rektbuilder，Rektbuilder 报告说他们现在正在与钱包公司合作，以获得有关所提出问题的反馈。

本文 原创，转载保留链接！网址：https://licai.bangqike.com/bixun/290586.html