Firmowe software firmy Ledger, które obsługuje jej sztandarowy produkt, kryptowalutowy portfel sprzętowy, jest w istocie pasem transmisyjnym poufnych informacji. Na bieżąco transferuje do firmy prywatne dane swoich posiadaczy – w tym informacje dotyczące tożsamości czy aktualny stan posiadania.
Innymi słowy, może być gorzej, niż sądzono – choćby po tegorocznych wpadkach, gdy firma przyznała się do backdoorów w kodzie. I żeby było „zabawniej”, zawiera ono też mechanizmy, które mają uniemożliwić użytkownikom portfela dezaktywowanie agresywnego wykradania danych przez firmę Ledger.
No patrzcie państwo, nie da się bez śledzenia
Informację tej treści opublikował deweloper Rektbuildr. Pracował on nad alternatywnym oprogramowaniem do portfela. W toku prac, metodą prób i błędów, doszedł on do wniosku, iż firmware, służące do „zarządzania” portfelem zachowuje się dziwnie (zasadne jest tu pytanie, czy zarządzającym aby na pewno jest tu użytkownik…?).
Oddając głos autorowi spostrzeżeń:
I dalej:
Rektbuildr opisał problem szerzej na forum crypto.bi. Dodał też przy tym zrzuty kodu, który odpowiada za owe interesujące funkcje:
W skrócie – kiedykolwiek, ktokolwiek łączy portfel firmy Ledger z siecią lub używa go do transakcji czy transferu, firma wie, kto to czyni, gdzie się znajduje, jakiego sprzętu używa i o jaką sumę kryptowaluty chodzi. Warto zaufać „bezpieczeństwu” oferowanemu przez uznanych producentów…
Portfel z „wrażeniami” w pakiecie
Ledger nie skomentował publicznie sprawy. Miał natomiast skontaktować się z Rektbuilderem i zwrócić się o feedback. Tak jakby firma, jako wcielenie niewinności, zupełnie nie wiedziała, o co chodzi, a dane użytkowników trafiały do niej całkowitym przypadkiem. Ot, zabłądziły w internecie i same wpadły na serwery Ledgera.
Nie jest to, jak prawdopodobnie pamięta liczne grono, pierwsza tego typu wpadka firmy. W maju tego roku Ledger zmuszony był przyznać się, iż bez wiedzy użytkowników zawierała w oprogramowaniu swych portfeli backdoory. Rzekomo w celu troski o „bezpieczeństwo” [taaa, na pewno – przyp. Red.].
Zaś zaledwie dwa tygodnie temu, w połowie grudnia, portfel tej firmy okazał się być podatny na ataki hakerskie. Zabezpieczenie przez podobnymi atrakcjami pierwotnie było przy tym jednym z głównych celów i racji istnienia portfeli sprzętowych.
Pozostaje więc pytanie, po co płacić niemałe środki za produkty, które nie tylko nie zapewniają tego, co miały, ale same wystawiają posiadacza na nową gamę zagrożeń?