MetaMask, Phantom і іншыя кашалькі браўзераў раскрыты ў паведамленні ў блогу, апублікаваным у сераду, што яны выпраўляюць крытычную ўразлівасць бяспекі. Уразлівасць магла раскрыць канфідэнцыйныя ўліковыя даныя карыстальніка на прыладах, якія былі скампраметаваныя.
Аднак пастаўшчыкі кашалькоў заявілі, што няма ніякіх доказаў таго, што ўразлівасць калі-небудзь выкарыстоўвалася, і не вядома, што яна пацярпела ад сродкаў карыстальнікаў.
Даведка аб уразлівасці
Памылка была выяўлена пасля паведамлення MetaMask і Phantom ад кампаніі па бяспецы блокчейна Halborn. Халбарн выявіў, што сакрэтную фразу аднаўлення, якая выкарыстоўваецца вэб-кашалькамі (MetaMask, Phantom), можна атрымаць са скампраметаванай машыны пры пэўных умовах. Халбарн заявіў, што ўразлівасць не закранула мабільных карыстальнікаў MetaMask і закранула толькі невялікую частку карыстальнікаў пашырэння MetaMask, а таксама карыстальнікаў іншых пашырэнняў браўзераў і кашалькоў.
Такім чынам, хто ў групе рызыкі?
І MetaMask, і Phantom не рэкамендуюць карыстальнікам прымаць якія-небудзь радыкальныя меры. Адзіным дзеяннем, рэкамендаваным для карыстальнікаў, было абнаўленне іх браўзераў, каб гарантаваць, што іх кашалькі/пашырэнні працуюць з самай апошняй і абноўленай версіяй праграмнага забеспячэння. MetaMask у сваім паведамленні ў блогу заявіў, што карыстальнікі павінны турбавацца, толькі калі яны адпавядаюць наступным крытэрыям.
- Жорсткі дыск вашай машыны не быў зашыфраваны.
- Калі вы, як карыстальнік, імпартавалі вашу Сакрэтную фразу аднаўлення ў пашырэнне прылады MetaMask на іншай прыладзе, якая зараз не ў вас, або ў валоданні любога чалавека, якому вы не давяраеце, або калі вы лічыце, што ваш кампутар узламаны.
- Калі вы выкарыстоўвалі сцяжок «Паказаць сакрэтную фразу для аднаўлення» і праглядалі сваю сакрэтную фразу для аднаўлення на экране падчас працэсу імпарту.
MetaMask заявіў у сваім паведамленні ў блогу,
«Калі ваш кампутар фізічна не абаронены ад людзей, якім вы не давяраеце, мы рэкамендуем вам уключыць поўнае шыфраванне дыска ў вашай сістэме. Акрамя таго, гэта не ўплывае на вас, калі вашымі сродкамі кіруе апаратны кашалёк».
Паведамленне ў блогу Phantom у цэлым сцвярджала тое ж самае, што і паведамленне ў блогу MetaMask.
У паведамленні таксама гаворыцца, што ўразлівасць уздзейнічае
- Усе настольныя аперацыйныя сістэмы і пашырэнні браўзераў.
- Усе версіі MetaMask, старэйшыя за v10.11.3, ва ўсіх версіях браўзераў.
Як узнікла ўразлівасць
Уразлівасць узнікла з-за асаблівасці мовы праграмавання Javascript, якая часам прыводзіла да таго, што сакрэтная фраза аднаўлення карыстальніка захоўвалася лакальна на працягу пэўнага часу (працягласць залежыць ад прылады да прылады). Калі фраза была ўведзена на неабароненай або ненадзейнай прыладзе, зламыснік можа патэнцыйна выдаліць яе з памяці машыны, калі б ведаў, дзе шукаць, што дазволіць яму атрымаць кантроль над сродкамі чалавека.
MetaMask выпусціў патч для выпраўлення памылкі ў сакавіку 2022 года, а Phantom быў праінфармаваны аб памылцы ў верасні 2021 года і выпусціў некалькі патчаў для выпраўлення праблемы ў перыяд са студзеня па красавік.
Папярэднія праблемы з MetaMask
MetaMask таксама сутыкнуўся з некалькімі праблемамі ў мінулым. Яшчэ ў красавіку, MetaMask папярэдзіла сваіх карыстальнікаў аб магчымасці фішынгавай атакі праз іх уліковыя запісы iCloud. Карыстальнікі былі ўразлівыя да патэнцыйнага ўзлому, калі ў іх была ўключана опцыя рэзервовага капіравання iCloud у праграме. Усяго за месяц да гэтага папярэджання з'явілася платформа пад агнём ад Crypto Twitter пасля таго, як блытаніна прывяла да блакіроўкі доступу венесуэльскіх карыстальнікаў да паслуг. Гэта адбылося, калі MetaMask і Infura спрабавалі выканаць санкцыі, абвешчаныя Злучанымі Штатамі Амерыкі.
Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі.
Крыніца: https://cryptodaily.co.uk/2022/06/metamask-phantom-disclose-vulnerability-that-put-user-credentials-at-risk