Plahvatusohtlikud väited: Ledger Live App Harvesting Massive User Data!

Algaja

Algaja juhend krüptoraha kohta

Vahepealne

Blockchaini ja krüpto vahepealne juhend

Ekspert

Krüptoraha uudised ekspertidele

Üllataval ilmsikstulekul on digitaalse valuuta entusiastid väljendanud muret seoses Ledger Live rakenduse, avatud lähtekoodiga kaaslase tarkvara Ledgeri riistvara rahakottide jaoks. Väidete kohaselt jälgib ja saadab rakendus kasutajate andmeid välisele andmekogumisteenusele. Need väited tulid päevavalgele sotsiaalmeedias, kus kasutaja “rektbuildr” kirjeldas murettekitavaid avastusi.

Ledger Live Appi liides
Ledger Live kasutajaliides

Ledger Live'i võrgutegevust uurides väitis rektbuildr:
“Ledger Live helistab andmeid varade kohta, mida te oma riistvara rahakotis hoiate, hetkel, mil te sisenete Ledger Live'ile. Samuti saadab see välja hulgaliselt muud teavet teie arvuti ja seadme kohta.”

Tundub, et rakendus edastab andmeid välisele lõpp-punktile aadressil “https://api.segment.io/v1/t”, mis on tuvastatud kui sisseostetud andmekogumise teenus.

Iga nupuvajutuse jälgimine

Avaldatud kasulik koormus sisaldab väidetavalt unikaalset kasutajatunnust ja kirjutamisvõtit, mis potentsiaalselt tuvastab kasutajate seadmeid. Lisaks sisaldavad edastatud andmed seadme andmeid, salvestusruumi kasutamist, operatsioonisüsteemi versiooni ja muud. Rektbuildr väidab, et Ledger Live'i jälgimiskood ulatub tavalisest analüütikast kaugemale, jälgides peaaegu iga klõpsu. Nad mainisid:

“Jälgimiskood on liiga struktuurne, et lihtsalt lugeda kasutajaid ja allalaadimisi nagu tavalised rakendused. Ledger Live teeb analüütikat kõige kohta alates ekraani vaatamisest kuni nupuklikkideni, veasündmuste, installeerimiste, uninstalleerimiste jne. See jälgib põhimõtteliselt kõike. Kõik, mida te selles rakenduses teete, jälgitakse.”

Ledger Live võrguaktiivsuse analüüs
Ledger Live'i võrguaktiivsuse uurimine

Kasutaja X kinnitab, et “iga üksik fail” Ledger Live'is sisaldab kasutaja jälgimisandmeid. Teavitaja sõnul alustas Ledger Live 23. detsembril 2019 avaldatud versiooniga v1.2.0 “intensiivset” kasutajate jälgimiskampaaniat. Nimelt lülitas ettevõte selles versioonis kasutajate jälgimise uute paigalduste puhul vaikimisi opt-in-lt opt-out-ile.

Ledger Live'i rakenduse andmete kogumise poliitika

Lisaks avalikustab Ledger Live'i privaatsuspoliitika ise, et see kogub ja säilitab erinevaid kasutajaandmeid, sealhulgas seadme seansi tunnuseid, IP-aadresse (mis Ledgeri sõnul edastatakse, kuid ei salvestata), tehinguandmeid ja muud.

“Mitte nii privaatse” privaatsuspoliitika kohaselt jagatakse kogutud teavet tehniliste teenusepakkujate, tütarettevõtete, partnerite ja tulevikus potentsiaalselt ka teiste ettevõtetega. Selles märgitakse:
“Me jagame teie andmeid oma tehniliste teenusepakkujate, tütarettevõtete, partnerite ja teiste ettevõtetega, kellele me võime müüa või loovutada kogu oma tegevuse või osa sellest. haldus- või õigusasutustele või muudele volitatud kolmandatele isikutele, kui selline andmete jagamine on seadusega sätestatud.”

Vastuolu tekitab küsimusi kogutud andmete tegeliku anonüümsuse kohta, eriti arvestades, et Ledger jagab kasutajate andmeid väga paljude üksustega. Hoolimata Ledgeri väitest, et IP-aadresse ei säilitata, on säilinud mure seoses edastatavate andmete võimaliku tuvastatavusega.

Ledger Live'i kasutajad otsivad praegu ettevõttelt selgitusi andmete kogumise tavade ja väliste üksustega teabe jagamise põhjuste kohta. Väidetel võib olla märkimisväärne mõju Ledgeri mainele ja kasutajate usaldusele, mis rõhutab läbipaistvuse ja eetiliste andmetavade suurendamise vajalikkust digitaalsete varade sektoris.

Algaja

Algaja juhend krüptoraha kohta

Vahepealne

Blockchaini ja krüpto vahepealne juhend

Ekspert

Krüptoraha uudised ekspertidele