Alexandru Lupascu dit que les utilisateurs de MetaMask qui accèdent à l'application sur des appareils mobiles risquent d'exposer leur adresse IP.

L'application mobile MetaMask peut exposer la vie privée des utilisateurs

Les utilisateurs de MetaMask peuvent mettre leur vie privée en danger, a averti un cryptographe.

Alexandru Lupascu, qui a cofondé le service de nœud de confidentialité OMNIA Protocol, a déclaré avoir trouvé une vulnérabilité critique dans le populaire portefeuille Web3 de ConsenSys qui donne aux pirates un moyen d'accéder aux adresses IP des utilisateurs, créant ainsi un risque pour la confidentialité. Une adresse IP est un identifiant global unique attribué à un appareil connecté au Web. Comme les utilisateurs peuvent stocker leurs actifs cryptographiques sur les portefeuilles MetaMask, une vulnérabilité d'adresse IP est une préoccupation majeure car elle pourrait créer un moyen pour les pirates d'identifier où l'utilisateur accède au portefeuille.

Lupascu publié un blog expliquant comment la vulnérabilité peut être exploitée en créant et en largant un objet de collection NFT sur une adresse Ethereum connectée à MetaMask utilisée sur un téléphone mobile.

Les NFT sont des actifs numériques qui dénotent la propriété de contenus tels que l'art numérique, la musique et les mèmes. Ils offrent un moyen de tokeniser le contenu mais ne stockent généralement pas le contenu réel. Étant donné que le stockage de données d'image sur une blockchain comme Ethereum peut être coûteux, les NFT contiennent des localisateurs de ressources uniformes qui pointent vers les données. Le contenu des NFT est souvent stocké soit sur un réseau de stockage décentralisé comme IPFS, soit sur des serveurs cloud centralisés distants.

Par défaut, l'application mobile MetaMask affiche les NFT stockés dans une adresse à l'aide d'un appel de fonction URL aux données d'image. Ces données sont hébergées sur des serveurs distants. Le processus se fait sans demander le consentement de l'utilisateur afin d'afficher quels NFT sont contenus dans son portefeuille Ethereum.

Au cours de ce processus de récupération, toutes les passerelles de serveur gérant la transmission des données d'image reçoivent les informations IP de l'utilisateur. Généralement, les projets exploitant les serveurs pour les données d'image assurent la sécurité des données.

Dans son enquête, Lupascu a déterminé que des entités malveillantes peuvent trouver les données IP des utilisateurs de MetaMask et exploiter les informations pour exécuter des attaques ciblées. Dans son article de blog, Lupascu a expliqué :

« Si un acteur malveillant ne connaît que votre adresse blockchain, il peut créer un NFT avec une URL pointant vers son serveur et transférer la propriété du NFT à votre adresse. Ainsi, lorsque votre portefeuille crypto récupère l'image distante du serveur, cela compromettra votre vie privée.

Lupascu a testé la vulnérabilité en créant un NFT sur OpenSea basé sur la norme ERC-1155. Il a ensuite utilisé un éditeur de contrat intelligent pour modifier l'URL d'origine liée au NFT afin qu'elle pointe vers un nouveau serveur sous son contrôle. Ensuite, Lupascu a envoyé le NFT à une adresse Ethereum. Lorsqu'il a accédé à l'adresse via l'application mobile MetaMask, son adresse IP est apparue sur le serveur qu'il contrôlait. Il a dit qu'il en coûtait environ 50 $ pour exécuter l'attaque.

Lupascu a déclaré à Crypto Briefing qu'il avait informé l'équipe MetaMask du problème à la mi-décembre 2021, ce qui signifie que le portefeuille Web3 est au courant du problème depuis au moins un mois. L'équipe MetaMask a promis de publier un correctif d'ici le deuxième trimestre de 2022 - un délai que Lupascu considère comme "inacceptable" compte tenu de la gravité du problème.

"Alex a raison de nous rappeler de ne pas l'avoir abordé plus tôt. Commencer à travailler dessus maintenant. Merci pour le coup de pied dans le pantalon, et désolé d'en avoir besoin.

Finlay a également proposé que le portefeuille ne pouvait "charger que des liens de type IPFS par défaut". De plus, les utilisateurs de MetaMask devront donner leur consentement explicite pour récupérer les données NFT stockées sur des serveurs tiers.

Pendant ce temps, Lupascu dit qu'il pense que les utilisateurs d'Ethereum devraient être vigilants s'ils reçoivent des NFT parachutés, et qu'il est conseillé d'y accéder uniquement via OpenSea. "En attendant que ce problème soit résolu sur l'application mobile, utilisez le OpenSea plateforme avec n’importe quel portefeuille compatible Web3 pour explorer vos objets de collection. Un aimable rappel à tous que la confidentialité hors chaîne est vraiment importante : ne la négligez pas », a-t-il déclaré.

Au cours des derniers mois, les collectionneurs de NFT ont perdu des millions de dollars d'actifs numériques à cause d'attaques, de piratages et d'escroqueries. De nombreux utilisateurs concernés ont stocké de précieux NFT de Bored Ape Yacht Club et d'autres collections recherchées sur des portefeuilles MetaMask et ont subi des attaques de phishing. Comme MetaMask est un portefeuille chaud, les voleurs peuvent drainer des fonds avec une relative facilité une fois qu'ils ont la clé privée d'un utilisateur. Comme les clés privées d'un portefeuille actif peuvent être compromises par des attaques de phishing et de logiciels malveillants, elles sont largement considérées comme moins sécurisées que les options de stockage à froid telles que les portefeuilles matériels, qui nécessitent l'accès à un appareil physique pour accéder aux fonds.

MetaMask est le portefeuille Web3 le plus populaire pour accéder à Ethereum et à d'autres réseaux blockchain compatibles EVM. Il comptait plus de 21 millions d'utilisateurs actifs mensuels en novembre 2021, selon un Communiqué de presse ConsenSys.

Divulgation: Au moment de la rédaction, l'auteur de cet article possédait de l'ETH et d'autres crypto-monnaies.

Source : https://cryptobriefing.com/ethereum-wallet-metamask-has-critical-privacy-vulnerability/?utm_source=main_feed&utm_medium=rss