157
… ….:
обновление ПО 2.2.1 несет в себе программный код, который позволяет извлечь фразу и отправить ее стороннему сервису в виде 3 зашифрованных шардов.
Ledger утверждают, что эту опцию необходимо вначале включить и подтвердить PIN кодом на устройстве.
У сообщества возникают следующие опасения:
- обновление ПО автоматически добавляет функцию извлечения сид фразы из Security Encave, что уже по сути представляет backdoor, который рано или поздно может быть использован злоумышленниками
- знаменитый слоган, что «ваш ключ не должен покидать устройство» теперь утратил смысл
- в процессе верификации юзера возникает третья сторона - сервис onfido, который теперь будет владеть данными ID + селфи видео подтверждение. Утечка данных у третьей стороны - также только вопрос времени, как ранее и утекли полные адресные данные юзеров Ledger.
К Ledger не было бы вопросов, если бы сервис удаленного копирования сид фразы был запущен в рамках отдельного продукта, сейчас в итоге все устройства Nano X по умолчанию становятся не безопасными, т к после обновления ПО в них внедрен программный код, способный извлечь сид фразу.
Безопасным продуктом в линейке Ledger пока остается старичок Nano S.
В какой-то момент времени под давлением со стороны регулирующих органов через обновление ПО Ledger может сделать обязательным верификацию юезров, где в последующем сравнит ваше резиденство или наличие вас в санкционных списках, а т к бэкдор уже реализован - то следующим шагом может стать принудительное извлечение вашей сид фразы и ее расшифровка с передачей активов государству. Чем не апокалиптичный сценарий? Ведь еще вчера казалось, что идея извлечения сид фразы из аппаратного кошелька и передача ее через сеть интернет - бред.