هشدار یک توسعهدهنده: لجر لایو (Ledger Live) اطلاعات کاربران را جمعآوری میکند
یکی از توسعهدهندگان نرمافزار که با نام مستعار رکت بیلدر (REKTBuilder) در شبکههای اجتماعی فعالیت میکند، به تازگی کد پایتون نرمافزار لجر لایو (Ledger Live) یا همان رابط کاربری کیف پول سختافزاری لجر را بررسی کرده و به نتایج عجیبی رسیده است. به گفته این توسعهدهنده هر زمان که کاربر کیف پول لجر خود را به رایانه شخصی یا تلفن همراه وصل میکند، نرمافزار لجر لایو تمام برنامههای نصب شده را بررسی کرده و بدین ترتیب متوجه میشود مالک کیف پول از چه شبکههایی استفاده میکند.
به نقل از کوین تلگراف، رکت بیلدر پیش از این در اوایل ماه دسامبر نیز در توییتی مدعی شده بود نرمافزار لجر لایو موجودی کریپتوی کاربران را ثبت میکند. وی در ادامه، نرمافزاری با نام «Lecce Libre» منتشر کرد و مدعی شد فورک متنبازی از لجر لایو است و دیگر موجودی کاربران را ثبت نمیکند.
به گفته این توسعهدهنده، مشکل فعلی لجر لایو بزرگتر از مشکل قبلی است. بر اساس توییت روز گذشته رکت بیلدر، این توسعهدهنده هنگام بررسی کد لجر لایو مشاهده کرده چندین خط حاوی عبارت «genuine check» است. وی در ادامه عبارت «tracing prints» را به این کد اضافه کرد و متوجه شد زمانی که نرمافزار در حال بررسی دستگاه کیف پول است، این تابع اجرا نمیشود. در ادامه، بررسی بیشتر نشان داد این تابع در زیر مجموعه «listApps» تعبیه شده و زمان و تاریخ مراجعات کاربر به کیف پول خود و اتصال آن به نرمافزار لجر لایو را ثبت میکند.
رکت بیلدر در ادامه تلاش کرد این تابع را غیرفعال کند؛ اما نرمافزار لجر لایو بدون این تابع اجرا نشده و عملا غیر استفاده شده است. این امر نشان میدهد فعلا نمیتوان نسخهای از لجر لایو را توسعه داد که کاربران را ردیابی نمیکند.
وی در این رابطه میگوید:
من سعی کردم این ردیابی از راه دور را غیرفعال کنم؛ اما غیرممکن است. اگر این کار را انجام دهید لجر لایو خراب میشود. این یعنی هر بار که دستگاه خود را متصل میکنید، لجر متوجه میشود.
علیرغم این مشکل، رکت بیلدر خاطر نشان کرد همچنان از نرمافزار لجر لایو استفاده میکند چرا که هیچ گزینه سختافزاری جایگزینی برای شبکه آوالانچ وجود ندارد.
لجر یکی از بزرگترین تولیدکنندگان کیف پولهای سختافزاری است و مدعی است بیش از ۶ میلیون کاربر دارد. این شرکت در ماه اکتبر نیز سرویسی با نام لجر ریکاور برای ذخیره کلید خصوصی کاربران در فضای ابری منتشر کرد و انتقادات بسیاری را برانگیخت. گفتنی است شرکت لجر هنوز به این ادعا پاسخی نداده است.