Разработчик обнаружил слежку за пользователями аппаратного кошелька Ledger

[News Bot]

 

Разработчик ПО, использующий псевдоним REKTBuilder, выяснил, что программное обеспечение аппаратного кошелька для хранения биткоинов Ledger Live отслеживает своих пользователей и собирает их данные.

REKTBuilder исследовал код Python программного обеспечения устройства и предположил, что оно выполняет «проверку подлинности устройства» каждый раз, когда пользователь подключает кошелек Ledger к компьютеру или телефону. По словам REKTBuilder, эту проверку проходят все приложения, установленные на устройстве, поэтому Ledger может узнать, какие сети использует владелец кошелька.

 

«В Ledger Live встроена проверка при процедуре листинга приложений. Они всегда проверяют ваше устройство при установке, обновлении приложений или прошивке. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка все равно ведется», – написал разработчик в соцсети Х.

 

В начале декабря REKTBuilder заявил, что Ledger Live записывает криптовалютные балансы пользователей. Позднее была выпущена альтернатива Ledger Live с открытым исходным кодом, без трекеров, под названием «Lecce Libre». 

 

 

Подробнее: https://bits.media/razrabotchik-obnaruzhil-slezhku-za-polzovatelyami-apparatnogo-koshelka-ledger/

[крип90]

вот честно - ржу с этих аппаратных кошельков

типичная глупая потребительская ниша

мало того что всплывают факты и слежки и хакинга

(с таким-же успехом подойдет и прога на смарте)

но вдумайтесь - целое устройство с кучей софта

и все для хранения  полкилобайта приватных ключей

 

[Dmitrii Storm]

Никогда такого не было _{у аппаратного кошелька Ledger} и вот опять.

 

То просохатят бабки своих пользователей в размере 600 тыщ $,

то секретные фразы у себя начинают хранить для "возможности восстановления по предъявлению документов" .

 

Скупой платит дважды. Тупой - трижды. Лох платит постоянно. Это отличный девиз для  аппаратного кошелька Ledger.

 

[Зоркий Сокол]

Кошелек Ledger изачально был дырявым. И все это прекрасно знали.
Но для покупки чего-то более приличного хомячкам было жалко денег. 

Да лучше, конечно, купить смартфон, белые резиновые кеды, чисбургер и модный самокат... 
Для хранения денег самое то...

[Serge71]

4 часа назад, крип90 сказал:

вот честно - ржу с этих аппаратных кошельков

типичная глупая потребительская ниша

мало того что всплывают факты и слежки и хакинга

(с таким-же успехом подойдет и прога на смарте)

но вдумайтесь - целое устройство с кучей софта

и все для хранения  полкилобайта приватных ключей

 

Во первых не нужно обобщать. Ledger это не ВСЕ аппаратные кошельки. Во вторых, где вы уважаемый предлагаете хранить? На биржах ? В кастодиальных хранилищах у кого то ? Ну ну.....

[Dmitrii Storm]

55 минут назад, Serge71 сказал:

 где вы уважаемый предлагаете хранить? На биржах ? В кастодиальных хранилищах у кого то ?

 

Типа, некастодиальных кошелей нет в вашей картине мира, @Serge71 ?

Даю намёк: https://electrum.org/#download

[Mask]

@Dmitrii Storm Электрум только для биткоина? Аппаратные так же покупают для других монет.

[corinway]

Электрум это конечно хорошо, но если у тебя в системе троян, уведут битки и даже не сможешь ничего сделать и узнаешь не сразу. Апаратник хотя бы блокирует физически. Все гонят на леджер, но они хотя бы признались что там есть бекдор, хотели бы угнать активы, никто бы не предупреждал, как в случаи с FTX. Покупать отдельный ноут и ставить линукс это не совсем практичный и дешевый вариант. Для того чтоб расла капа рынка, должны быть дешевые и практичные инструменты для масс адопшена. Вспомните как раньше хранили битки через скачивание фул ноды и сколько он тогда стоял. Я помню хотел его еще давно купить, продавали в телеграм каналах с диким процентом и скачивать ноду неделю и непонятно как хранить валет.дат, тогда даже бирж толковых небыло, взял и забил. Максималисты то критиковать любят, но он не пойдет на миллион пока не будет практичных решений хранения для институционалов и домохозяек. Может я чего то не знаю, предложите варианты?

Также, не забываем что капа растет не только от прямых вливаний, а и от перелива мусора(альты) в него. Это все тоже нужно просто и практично где то хранить.

Посмотрите на график битка, когда он начал сильно расти? Примерно в 2017. Именно тогда появился стейбл usdt и леджер начала выпускать первые апаратники. Без этих инструментов не будет рынка, как и без бирж. Хотя каждый день читаешь страшилки про скам бинанса, тезера и леджера.

Мне как то одна женщина сказала, что она не использует интернет на телефоне, а только youtube. Получается спустя 20лет существования интернета, люди не знают что это такое. Вы думете они выучат криптографию и понесут туда деньги?

Edited 28 Dec 2023, 19:33 by corinway

[mmmouse]

https://forum.bits.media/index.php?/topic/952-курс-bitcoin-только-про-bitcoin/page/2304/#comment-2358052

[Dmitrii Storm]

16 часов назад, Mask сказал:

@Dmitrii Storm Электрум только для биткоина? Аппаратные так же покупают для других монет.

Тысячи их. Trust Wallet, например. Да вы лучше меня это знаете.

[Serge71]

21 час назад, Dmitrii Storm сказал:

 

Типа, некастодиальных кошелей нет в вашей картине мира, @Serge71 ?

Даю намёк: https://electrum.org/#download

Я никогда не покупал и не хранил биткоины. Зачем мне ваш электрум? И вообще ребята хватит тупить, следят не аппаратные кошельки, следят приложения которые устанавливаются к этим кошелькам.Любое приложение теоретически может отслеживать и передавать все ваши действия. Всё что стоит на компе тем более может быть взломано и скомпроментировано.

3 часа назад, Dmitrii Storm сказал:

Тысячи их. Trust Wallet, например. Да вы лучше меня это знаете.

И чем этот Trust Wallet лучше аппаратника ? Назовите хотя бы один пункт. Приложение этого кошелька в теории не может следить? Нет нужно было докопаться именно до аппаратников, причём всех сразу.

[Serge71]

Ну очень убогий подход.

[MenBillions]

В 14.12.2023 в 19:36, Helber сказал:

 

 

В 28.12.2023 в 17:42, крип90 сказал:

вот честно - ржу с этих аппаратных кошельков

типичная глупая потребительская ниша

мало того что всплывают факты и слежки и хакинга

(с таким-же успехом подойдет и прога на смарте)

но вдумайтесь - целое устройство с кучей софта

и все для хранения  полкилобайта приватных ключей

 

А где хранить тогда если только не на холодных и какие фирмы то безопаснее

Edited 29 Dec 2023, 20:36 by MenBillions

[Dmitrii Storm]

39 минут назад, MenBillions сказал:

А где хранить тогда если только не на холодных и какие фирмы то безопаснее

5 часов назад, Serge71 сказал:

Нет нужно было докопаться именно до аппаратников, причём всех сразу.

Здрасьте-покрасьте. Тут разговор только о косяках аппаратного кошелька Ledger шёл.

Про другие я ни одной буквы не сказал.

Прошу не приписывать мне того, чего я не говорил.

[Mask]

9 часов назад, Dmitrii Storm сказал:

Trust Wallet,

С закрытым исходным кодом, всё что угодно можно ожидать, да и ломается он на раз, два:

Взлом из-за уязвимости WASM расширения браузера между 14 ноября 2022 года и 23 ноября 2022 года.

Взломом пользователей на 4 миллиона долларов с помощью социальной инженерии.

4 млрд кошельков Trust Wallet Extension можно взломать прямо с ноутбука.

 

 

[Андрей_ua]

https://slabber.io/posts/2579

Не благодарите

[Helber]

3 часа назад, Андрей_ua сказал:

https://slabber.io/posts/2579

Не благодарите

Что там? Меня клаудфларь не пускает

[TheIllusiveMan]

@Helber из под РФ пускает

там статья про холодный кошелёк на Tails

[Mask]

7 часов назад, Андрей_ua сказал:

Не благодарите

Из статьи, как не соприкасается горячая и холодная системы:

Экспортируем транзакцию в файл psbt. передаём файл в Tails, подписываем транзакцию из файла, экспортируем подписанную транзакцию в файл psbt, и передаём на онлайн компьютер. Эти действия мы можем выполнять с помощью флешки, которая соприкасается с холодной и горячей системой. Что бы это исключить, транзакции можно передавать с помощью потокового QR. Но тут как раз и возникают нюансы, которые указывают не в лучшую сторону для использования этого метода. Нет единого стандарта потокового QR-кода, разработкой всерьез никто не занимается. И не забываем, что для такого метода, нужно отдельно держать устройство (ноутбук/ПК), на котором установлен Линукс и данное ус-во никогда не подключалось к Интернету.

 

Edited 30 Dec 2023, 13:04 by Mask

[vernichter]

24 минуты назад, Mask сказал:

И не забываем, что для такого метода, нужно отдельно держать устройство (ноутбук/ПК), на котором установлен Линукс

Сагласин. В конце 2023-го иметь загрузочную флешку с талисом - это непозволительная роскошь -)