Un investigador de seguridad independiente llamado Shaleem Rashid ha publicado un informe donde alega que la compañía Archos, fabricante de la recientemente anunciada cartera de hardware Safe-T, está violando una Licencia Pública General Menor (LGPL) con el lanzamiento de este dispositivo.
hey, @ARCHOS, you probably shouldn't be distributing software (https://t.co/iUMWJ0hQZj) that is in license violation of the LGPL (https://t.co/lCNuZoonUY) https://t.co/pWs9kFunUY
— Schrödinger's BoxᐸOptionᐸCatᐳᐳ (@saleemrash1d) June 27, 2018
En concreto, la cartera Safe-T está basada en el código abierto de la cartera Trezor, sin embargo, su precio de venta es casi la mitad de la Trezor One. De hecho, las librerías que admiten el dispositivo de Archos han sido bifurcadas de los repositorios de Trezor apenas con algunas modificaciones.
Según Rashid, el problema no es este, debido a que las librerías son gratuitas siempre y cuando la fuente sea liberada y los términos de la licencia se cumplan. El verdadero problema con Safe-T es la distribución de su interfaz web, y es que aparentemente, este elemento y el puente de aplicación de la cartera son versiones modificadas de la cartera de Trezor, y el código fuente no ha sido revelado por Archos.
En informática, el puente de aplicación es un código que enlaza diversos entornos de lenguaje con otros lenguajes. En este sentido, Rashid aseguró que se está distribuyendo una copia modificada del nuevo puente de aplicación de Trezor, lo que sugeriría una clara de los términos de la LGPL de Trezor al no publicar el código para que sea revisado por los miembros de la comunidad.
En caso de que Rashid esté en lo cierto, la violación de los términos de la licencia sería evidente, pero aún queda por ver si en realidad dicha falta ocurrió, y aún esperamos la declaración oficial de Archos.
El desarrollador afirma que el hardware de Safe-T utiliza un hardware más innovador que el de Trezor, pero su implementación no ha sido ampliamente probada, asegurando además que tiene un mayor riesgo de puertas traseras y por ende, de ataques informáticos, porque utiliza una EEPROM con protección por PIN, un sistema que ha demostrado su fracaso constantemente.
