仮想通貨ハードウェアウォレット「レジャー」のソフトウェアであるレジャーライブ(Ledger Live) が、ユーザーを追跡し、データを収集していると非難されている。
ソフトウェア開発者兼プライバシー擁護者である REKTBuilder氏によると、同氏がレジャーライブの Pythonコードを調査したところ、ユーザーがレジャーデバイスをPCまたはスマートフォンに接続するたびに「本物のデバイスチェック」を実行していることが判明したという。このチェックにより、デバイスにインストールされているすべてのアプリのリストが表示され、ウォレット所有者がどのネットワークを使用しているかをレジャー が知ることができると REKTBuilder 氏は主張している。
Ledger Live embeds the genuine check into the apps listing procedure. As it is, they always doxx your device when installing or updating apps and firmware. I removed most tracking in Lecce Libre, but they still track you regardless.
— REKTBuildr (@rektbuildr) December 27, 2023
For the past couple days I'd been trying to… pic.twitter.com/Q1aF1qpjge
REKTBuilder氏は、Crypto.bi フォーラムやX(旧 Twitter)に投稿する匿名の研究者だ。同氏は 12月6日、レジャーライブがユーザーの仮想通貨残高を記録していると主張するレポートを発表した。翌日、同氏は「トラッカーフリー(追跡されない)」なオープンソースのレジャーライブ代替品である「Lecce Libre」をリリースした。
REKTBuilder氏は現在、Ledger Live でさらに大きなプライバシー問題を発見したと主張している。同氏の12月27日の投稿によると、複数のコード行に「本物のデバイスチェック」というフレーズが含まれていることを発見。このコードに「トレーシングプリント」を追加したところ、ソフトウェアがデバイスをチェックしているように見えた時点では実行されていないことがわかった。REKTBuilder氏はさらに調査を進め、実際のチェックは「listApps」サブルーチンに埋め込まれていることを発見した。このチェックにより、レジャーはユーザーがデバイスを接続するたびに時間と日付を特定できるとREKTBuilder氏は主張している。
REKTBuilder氏はコードを削除しようとしたが、そうするとソフトウェアが壊れて使用できなくなることがわかった。これは、レジャーライブの「トラッカーフリー」バージョンは作成できないことを示唆しているという。
「リモートトラッキングを無効にしようとしたが、不可能だった。やろうとすると壊れる。つまり、レジャーは毎回デバイスを接続するたびに、それがあなたであることを知っているということだ」
こうしたプライバシー問題にもかかわらず、REKTBuilder氏はアバランチで他にハードウェアオプションがないため、レジャーライブを使用しているとXで述べている。
レジャーは、仮想通貨ハードウェアウォレットの大手だ。同社によると、デバイスのユーザーは600万人を超えているという。3月には、事業のさらなる拡大のために 1 億900万ドルの資金を調達した。10月には、プライベートキーを紛失する恐れのあるユーザー向けにオプションのクラウドベースのリカバリツールをリリースした。