لجر لایو یک برنامه خطرناک برای اطلاعات شخصی!

Ledger Live، یک نرم افزار کاربردی است که همراه کیف پول‌های سخت‌افزاری محبوب مانند Ledger Nano S وX ، به بازار عرضه می‌شود این برنامه سبب می‌شود که شما در کنار پول دیجیتال سخت افزاری خود, رمز ارزها را کنترل کنید و نیز موجودی خود را بررسی کرده و حتی چند حساب ایجاد کنید. این نرم افزار برای مدیریت دارایی‌های شما ساخته شده است و یک رابط کاربری ارائه می‌دهد که می‌تواند هم بر روی دسکتاپ و هم در دستگاه‌های تلفن همراه نصب شود.

با این حال، نگرانی زیادی در دو مورد از ویژگی‌های لجر بابت حریم خصوصی بیت در میان کاربران این کیف پول به وجود آمد. یکی از این ویژگی‌ها پتانسیل جمع آوری داده‌ها است و دیگری عدم شناسایی لجر لایو در ویندوز است. این هفته پس از یک پست توییتری که در آن تعداد اسکریپت‌های ردیابی یافت شده در Ledger Live را بررسی می‌کرد، خصومت نسبت به این شرکت و بقیه محصولاتش شعله‌ور شد.

با استفاده از Ledger Live، می‌توانید ارزهای رمزنگاری شده مانند بیت کوین را به/ از کیف پول سخت افزاری لجر خود ارسال کنید؛ البته مشکلی که وجود دارد این است که Ledger Live همه اطلاعات کاربر را ردیابی کرده و به سرویس برداشت داده‌های برون سپاری شده ارسال می‌کند. این مشکل باعث شده است لجرلایو از نظر امنیت به سطح پایینی سقوط کند.

Rektbuildr نوشت: Ledger Live داده‌های دارایی‌هایی را که در کیف پول سخت‌افزاری خود نگهداری می‌کنید، در لحظه دسترسی به Ledger Live دریافت می‌کند. همچنین اطلاعات زیادی درباره رایانه و دستگاه شما ارسال می‌کند.”

Ledger Live تجزیه و تحلیل را روی همه چیز انجام می‌دهد، از نمایش‌های صفحه گرفته تا کلیک روی دکمه‌ها، رویدادهای خطا، نصب، حذف نصب و غیره، اساساً همه چیز را ردیابی می‌کند. هر چیزی از اطلاعات شخصی شما در آن برنامه ردیابی می‌شود.

Ledger Live کمپین ردیابی کاربران “فشرده” خود را با انتشار نسخه 1.2.0 آغاز کرد که در 23 دسامبر 2019 رخ داد. ظاهراً در آن زمان بود که ردیابی کاربر به‌طور پیش‌فرض برای همه نصب‌های جدید به انصراف به جای opt-in تغییر یافت .

اگر یک کیف پول لجر دارید، حداقل باید از Ledger live استفاده نکنید و یا برای خرید یک کیف پول امن‌تر اقدام کنید.

Ledger Live چیست؟

Ledger Live یک اپلیکیشن دسکتاپ و موبایل است. اپلیکیشن Ledger Live توسط همان شرکت سازنده کیف پول سخت افزاری رمزنگاری لجر ساخته شده است. با استفاده از Ledger Live، می‌توانید ارزهای رمزنگاری شده مانند بیت کوین را به/ از کیف پول سخت افزاری لجر خود ارسال کنید.

معایب لجر لایو

در ادامه به برخی از معایب نرم افزار لجر لایو می پردازیم.

 ردیابی آدرس IP

Ledger Live آدرس‌های IP کاربران را تا پنج سال جمع‌آوری و ذخیره می‌کند و نگرانی‌هایی را در مورد شناسایی و ردیابی احتمالی ایجاد می‌کند. این اطلاعات، همراه با داده‌های تراکنش، از نظر تئوری می‌تواند برای نمایه کردن رفتار کاربر و پیوند آن‌ها با تراکنش‌های خاص استفاده شود.

عدم کنترل کوین

Ledger Live  امکان انتخاب UTXOهایی را که می خواهید خرج کنید را ارائه نمی‌دهد. در عوض، نرم‌افزار به‌طور خودکار وجوهی را برای تراکنش‌ها انتخاب می‌کند و اغلب آن‌هایی را انتخاب می‌کند که بیشترین موجودی را دارند. این می‌تواند دارایی‌ها و الگو‌های تراکنش کاربران را در معرض دید قرار دهد و آن‌ها را در برابر حملات هدفمند یا تجزیه و تحلیل مالی آسیب پذیر کند.

به اشتراک گذاری داده‌ها

در حالی که لجر ادعا می‌کند حداقل اشتراک داده‌ها را دارد، نگرانی‌ها در مورد ادغام شرکای بالقوه و تغییرات آتی در خط مشی رازداری آن‌ها وجود دارد. کاربران کنترل محدودی بر روی اینکه چه داده‌‌هایی به اشتراک گذاشته می‌شوند و چگونه استفاده می‌شوند، دارند.

عدم شفافیت

اسناد و اطلاعات لجر درباره روش‌های جمع‌آوری و استفاده از داده‌ها اغلب مبهم هستند و جزئیات خاصی در مورد اینکه چه کسی داده‌ها را در اختیار دارد، چه کسی به آن داده‌ها دسترسی دارد و چگونه از آن داده‌ها استفاده می‌شود، ندارد. این عدم شفافیت، تصمیم گیری آگاهانه در مورد حریم خصوصی و امنیت را برای کاربران دشوار می‌کند.

بسته و در عین حال متن باز

کیف سخت‌افزار Ledger منبع بسته است، به این معنی که نرم‌افزاری که دستگاه را اجرا می‌کند تنها توسط توسعه‌دهندگان خود شرکت قابل بررسی است، که باعث عدم شفافیت برای نقص‌ها و درهای پشتی احتمالی می‌شود. در حالی که کد منبع Ledger Live منبع باز است، عدم شفافیت پشته کامل، تأیید عملکرد برنامه و شناسایی آسیب پذیری‌های احتمالی را برای کارشناسان امنیتی دشوار می‌کند.

این بدان معناست که می‌توانید یک کنسول برنامه‌نویس را درست مانند کروم باز کنید و درخواست‌های شبکه، کنترل‌کننده‌های رویداد و غیره را مشاهده کنید.

Ledger Live یک برنامه نا‌ایمن

تیم Protos متوجه شد که گزینه‌ای برای خاموش کردن حداقل برخی از این تجزیه و تحلیل‌ها در تنظیمات Ledger Live وجود دارد. برگه تنظیمات Ledger Live می‌گوید فعال کردن تجزیه و تحلیل داده‌ها را در مورد کلیک‌ها، بازدید از صفحه، تغییر مسیرها، اقدامات (ارسال، دریافت، قفل و غیره)، اسکرول انتهای صفحه، (لغو) نصب و نسخه برنامه، تعداد حساب‌ها، رمزنگاری ارسال می‌کند.

لجر با وجود از دست دادن میلیون‌ها ایمیل کاربر، سرویس را «بدون ریسک» می‌نامد.

برداشت‌کننده داده Ledger Live یک شی JSON با کلید خصوصیات است. این شناسه کاربری و یک “writeKey” را ارسال می‌کند که می‌تواند به طور منحصر به فرد رایانه شخصی را شناسایی کند. همچنین می‌تواند اطلاعات حساب segment.io از جمله نام دارایی‌های دیجیتال متعلق به و سایر اطلاعات مربوط به رایانه‌های کاربران را ارسال کند.

اگرچه Ledger Live کلیدهای خصوصی یا عبارات بازیابی را به segment.io ارسال نمی‌کند، اما اطلاعات زیادی در مورد یک کاربر ارسال می‌کند که می‌تواند کاربران را در معرض حملات اخاذی قرار دهد. برای مثال، هر هکر segment.io می‌تواند به راحتی هر کاربری را که دارایی‌های ارزهای دیجیتال قابل توجهی است شناسایی کند.