Egyre nagyobb felháborodást vált ki a Ledger a közösség részéről
Par nappal ezelőtt a hardvertárca-szolgáltató Ledger Twitter oldalán egy olyan bejegyzés jelent meg, amelyben azt olvashattuk, hogy a vállalatnak lehetséges olyan firmwaret írnia, amely képes megszerezni a felhasználók privát kulcsait. A sok kérdést felvető tweetet a Ledger nem sokkal később törölte, azt állítva, hogy azt rossz megfogalmazással egy ügyfélszolgálati munkatársuk tette közzé. Az eset nagy felháborodást váltott ki a felhasználók körében, és a vállalat most arra törekszik, hogy megmagyarázza a történteket.
Vous avez peut-être vu un tweet de notre compte d’assistance Ledger partagé concernant les mises à jour du micrologiciel Ledger.
co/cL6UrBzxWr
Érthető a közösség felháborodása
« Technikailag mindig est lehetséges volt olyan firmwaret írni, amely megkönnyíti a kulcsok kivonását. Mindig est bíztatok a Ledgerben, hogy nem telepít ilyen firmwaret, akár tudtatok róla, akár nem. – olvasható un tweetben.
A május 17-i bejegyzés a Ledger Supporttól, amelyet később töröltek. Forrás : Cointelegraph.
A felháborodás azonban ezen poszt megjelenése előtt már elkezdődött. Egy új frissítés, amely lehetővé teszi a Ledger számára, hogy biztonsági másolatot készítsen a seed kifejezésekről, szintén nagy port kavart. Az újítás emellett regisztrációt est igényel, amely értelmében a felhasználóknak be kell küldeniük a hatóságok által kiállított személyi igazolványuk másolatát est.
comprenez-vous maintenant le problème ?
A Ledger válasza
Charles Guillemet, a Ledger technológiai vezetője tisztázta, hogy a tárca operációs rendszere minden alkalommal megköveteli a felhasználó beleegyezését, amikor az « megérinti » a privát kulcsot. Más szóval a rendszer nem másolhatja az eszköz privát kulcsát a felhasználó beleegyezése nélkül.
A vezérigazgató szerint a tárca firmwareje vagy operációs rendszere nyílt platformnak számít abban az értelemben, hogy bárki írhat saját alkalmazást, és betöltheti azt az eszközre. Azonban mielőtt a Ledger Manager szoftverben engedélyezik az alkalmazások használatát, a csapat először megvizsgálja azokat, hogy nem rosszindulatúak és nem tartalmaznak biztonsági hiányosságokat.
A Ledger szerint még egy alkalmazás jóváhagyása után sem engedi meg az operációs rendszer, hogy a privát kulcsot olyan hálózaton használja, amelyre eredetileg nem szánták. Példaként hozták fel, hogy a Bitcoin-alkalmazások nem használhatják az eszköz Ethereum privát kulcsait, és fordítva is igaz ez. Ezenkívül minden alkalommal, amikor egy applikáció egy privát kulcsot használ, a vállalat szerint az operációs rendszer megköveteli a felhasználóktól, hogy megerősítsék a kulcs használatához való hozzájárulá sukat. Ez arra utal, hogy a Ledgerre telepített harmadik féltől való alkalmazások nem használhatják egy személy privát kulcsait anélkül, hogy a felhasználó előzetesen beleegyezett volna.
Guillemet azt est megerősítette, hogy ez a rendszer a jelenlegi operációs rendszer része. Ezt elméletileg meg lehetne változtatni, ha a Ledger tisztességtelenné válna, vagy ha egy támadó valahogyan átvenné az irányítást a vállalat számítógépei felett.
Eközben a riválisnak számító GridPlus hartvertárca felajánlotta firmwarejének nyílt forráskódúvá tételét, hogy megpróbálja magához csábítani a Ledger-felhasználókat. Guillemet azonban kijelentette, hogy a firmware nyílt forráskódja nem nyújtana védelmet a tisztességtelen tárcaszolgáltatókkal szemben. Ezt azzal indokolta, hogy a felhasználó nem tudná, hogy a közzétett kód valóban fut-e az eszközön.
