MetaMask zina, ka tai ir kritiska privātuma ievainojamība, bet tas nav to izlabojis

Aleksandru Lupasku saka, ka MetaMask lietotāji, kuri piekļūst lietotnei mobilajās ierīcēs, riskē atklāt savu IP adresi.

Mobilā lietotne MetaMask var atklāt lietotāju privātumu

Kriptogrāfs brīdinājis, ka MetaMask lietotāji var apdraudēt savu privātumu.

Aleksandru Lupasku, kurš līdzdibināja privātuma mezgla pakalpojumu OMNIA Protocol, stāsta, ka ir atradis kritisku ievainojamību ConsenSys populārajā Web3 makā, kas sniedz hakeriem iespēju piekļūt lietotāju IP adresēm, tādējādi radot privātuma risku. IP adrese ir unikāls globālais identifikators, kas piešķirts ierīcei, kas savienota ar tīmekli. Tā kā lietotāji savus kriptovalūtus var glabāt MetaMask makos, IP adreses ievainojamība ir liela problēma, jo tā var radīt iespēju hakeriem noteikt, kur lietotājs piekļūst makam.

Lupascu publicēja emuāra ierakstu, kurā paskaidrots, kā ievainojamību var izmantot, kaljot un nolaižot NFT kolekcionējamu ar MetaMask savienotu Ethereum adresi, kas tiek izmantota mobilajā tālrunī.

NFT ir digitālie līdzekļi, kas apzīmē īpašumtiesības uz saturu, piemēram, digitālo mākslu, mūziku un mēmiem. Tie piedāvā veidu, kā marķēt saturu, bet parasti nesaglabā faktisko saturu. Tā kā attēlu datu glabāšana blokķēdē, piemēram, Ethereum, var būt dārga, NFT satur vienotus resursu meklētājus, kas norāda uz datiem. NFT saturs bieži tiek glabāts vai nu decentralizētā krātuves tīklā, piemēram, IPFS, vai attālos centralizētos mākoņserveros.

Pēc noklusējuma mobilā lietotne MetaMask parāda adresē saglabātos NFT, izmantojot URL funkcijas izsaukumu uz attēla datiem. Šie dati tiek mitināti attālos serveros. Process tiek veikts, neprasot lietotāja piekrišanu, lai parādītu, kādi NFT ir ietverti viņa Ethereum makā.

Šī iegūšanas procesa laikā visas servera vārtejas, kas apstrādā attēlu datu pārraidi, saņem lietotāja IP informāciju. Parasti projekti, kas izmanto attēlu datu serverus, nodrošina datu drošību.

Savā izmeklēšanā Lupascu konstatēja, ka ļaunprātīgas vienības var atrast MetaMask lietotāju IP datus un izmantot informāciju, lai veiktu mērķtiecīgus uzbrukumus. Savā emuāra ziņā Lupascu paskaidroja:

“Ja ļaunprātīgs dalībnieks zina tikai jūsu blokķēdes adresi, viņš var izveidot NFT ar URL, kas norāda uz viņa serveri, un nodot NFT īpašumtiesības uz jūsu adresi. Tādējādi, kad jūsu kriptogrāfijas maciņš ienes attālo attēlu no servera, tas apdraudēs jūsu privātumu.

Lupascu pārbaudīja ievainojamību, izveidojot NFT uz OpenSea, pamatojoties uz ERC-1155 standartu. Pēc tam viņš izmantoja viedo līguma redaktoru, lai mainītu sākotnējo URL, kas ir saistīts ar NFT, lai norādītu uz jaunu viņa kontrolē esošu serveri. Pēc tam Lupasku nosūtīja NFT uz Ethereum adresi. Kad viņš piekļuva adresei, izmantojot mobilo lietotni MetaMask, viņa IP adrese parādījās viņa kontrolētajā serverī. Viņš sacīja, ka uzbrukuma izpilde izmaksāja aptuveni 50 USD.

Lupasku pastāstīja Crypto Briefing, ka viņš MetaMask komandu informēja par šo problēmu 2021. gada decembra vidū, kas nozīmē, ka Web3 maciņš ir informēts par šo problēmu vismaz mēnesi. MetaMask komanda apsolīja izlaist ielāpu līdz 2022. gada otrajam ceturksnim — tas ir laika posms, ko Lupasku uzskata par “nepieņemamu”, ņemot vērā lietas nopietnību.

"Aleksam ir taisnība, ka mūs sauc par to, ka mēs to nerisinājām ātrāk. Tagad tiek sākts darbs pie tā. Paldies par sitienu pa biksēm, atvainojiet, ka mums tas bija vajadzīgs.

Finlay ir arī ierosināts ka maks pēc noklusējuma var ielādēt tikai IPFS tipa saites. Turklāt MetaMask lietotājiem būs jāsniedz nepārprotama piekrišana, lai iegūtu NFT datus, kas tiek glabāti trešo pušu serveros.

Tikmēr Lupascu saka, ka, viņaprāt, Ethereum lietotājiem ir jābūt modriem, ja viņi saņem no gaisa nolaižamus NFT, un ka ir ieteicams tiem piekļūt tikai caur OpenSea. “Kamēr šī problēma nav novērsta mobilajā lietojumprogrammā, izmantojiet OpenSea platformu ar jebkuru ar Web3 saderīgu maku, lai izpētītu savus kolekcionējamos priekšmetus. Laipns atgādinājums visiem, ka privātums ārpus ķēdes ir patiešām svarīgs — neaizmirstiet to,” viņš teica.

Pēdējos mēnešos NFT kolekcionāri uzbrukumu, uzlaušanas un krāpniecības dēļ ir zaudējuši digitālos aktīvus miljoniem dolāru vērtībā. Daudzi ietekmētie lietotāji glabāja vērtīgus NFT no Bored Ape Yacht Club un citām pieprasītām kolekcijām MetaMask makos un cieta no pikšķerēšanas uzbrukumiem. Tā kā MetaMask ir populārs maciņš, zagļi var salīdzinoši viegli iztērēt līdzekļus, tiklīdz viņiem ir lietotāja privātā atslēga. Tā kā karstā maka privātās atslēgas var tikt apdraudētas pikšķerēšanas un ļaunprātīgas programmatūras uzbrukumu dēļ, tās tiek plaši uzskatītas par mazāk drošām nekā aukstās uzglabāšanas iespējas, piemēram, aparatūras maki, kuriem, lai piekļūtu līdzekļiem, ir nepieciešama piekļuve fiziskai ierīcei.

MetaMask ir vispopulārākais Web3 maciņš, lai piekļūtu Ethereum un citiem ar EVM saderīgiem blokķēdes tīkliem. Saskaņā ar ConsenSys paziņojumu presei 21. gada novembrī tai bija vairāk nekā 2021 miljons aktīvo lietotāju mēnesī.

Informācijas atklāšana: rakstīšanas laikā šī raksta autoram piederēja ETH un citas kriptovalūtas.