Un'indagine di Rekt Builder ha sollevato preoccupazioni sull'entità della raccolta di dati da parte di Ledger Live, il software ufficiale per la gestione dei portafogli hardware Ledger. Lo sviluppatore afferma che Ledger Live tiene traccia di ogni mossa effettuata dagli utenti, comprese le app installate e le criptovalute in loro possesso.
Ledger Live che monitora segretamente le attività di transazione degli utenti?
Presentato su X il 27 dicembre, Rekt Builder afferma che Ledger Live incorpora l'assegno autentico nella procedura di quotazione dell'app. Pertanto, significa che ogni volta che colleghi il tuo dispositivo Ledger e apri Ledger Live, il software controlla se il dispositivo è autentico e invia queste informazioni ai server di Ledger. Questi dati includono il numero di serie del dispositivo, la versione del firmware e l'elenco delle app installate.
Rekt Builder rileva inoltre che Ledger Live tiene traccia dei saldi crittografici archiviati sul dispositivo. Tuttavia, ciò che preoccupa è che tutti questi dati vengono inviati ai server di Ledger. Di conseguenza, significa che Ledger può accedere a un registro dettagliato delle partecipazioni crittografiche dei suoi clienti.
Per determinare se Ledger teneva traccia dell'attività dell'utente, lo sviluppatore ha tentato di disattivare la funzionalità di monitoraggio remoto in Ledger Live, ma ciò era impossibile. Qualsiasi tentativo di disabilitare il tracciamento ha comportato l'interruzione del software. Ciò suggerisce che Ledger avesse intenzionalmente progettato Ledger Live per monitorare l'attività dell'utente.
I risultati di Rekt Builder sollevano serie preoccupazioni sulla privacy degli utenti del portafoglio hardware Ledger. Se Ledger tiene traccia di ogni mossa effettuata dagli utenti, è possibile che questi dati possano essere utilizzati per identificare gli utenti e tracciare le loro transazioni crittografiche. Ciò può essere pericoloso perché un attacco a uno qualsiasi dei server centralizzati di Ledger può significare che agenti malintenzionati possono controllare dati critici, che possono quindi essere utilizzati per prendere di mira individui con grandi quantità di Bitcoin e altre monete.
Il registro rimane oggetto di discussione sulla sicurezza e sulla privacy
Al momento in cui scrivo, Ledger non ha ancora risposto alle accuse di Rekt Builder. Questa non è la prima volta che Ledger viene accusato di violazioni della privacy. Nel 2022, Ledger è stato accusato di aver raccolto dati sull'attività degli utenti, inclusi i siti Web visitati e le monete scambiate. Ledger in seguito si scusò per questa raccolta di dati e promise di migliorare le sue pratiche sulla privacy.
Nel luglio 2023, un ricercatore di sicurezza ha identificato un punto debole nell'account Node Package Manager (NPM) di Ledger. Questa falla ha consentito a un utente malintenzionato di rubare i dati degli utenti, inclusi indirizzi e-mail e cronologia degli acquisti. Si stima che siano stati probabilmente colpiti oltre 270.000 account.