Generatieve data-intelligentie

Alexandru Lupascu zegt dat MetaMask-gebruikers die de app op mobiele apparaten openen het risico lopen hun IP-adres openbaar te maken.

MetaMask mobiele app kan de privacy van gebruikers blootleggen

MetaMask-gebruikers brengen mogelijk hun privacy in gevaar, heeft een cryptograaf gewaarschuwd.

Alexandru Lupascu, medeoprichter van de privacyknooppuntservice OMNIA Protocol, zegt dat hij een kritieke kwetsbaarheid heeft gevonden in de populaire Web3-portemonnee van ConsenSys, die hackers een manier geeft om toegang te krijgen tot de IP-adressen van gebruikers, waardoor een privacyrisico ontstaat. Een IP-adres is een unieke globale identificatie die wordt toegewezen aan een apparaat dat met internet is verbonden. Omdat gebruikers hun crypto-activa op MetaMask-wallets kunnen opslaan, is een kwetsbaarheid voor IP-adressen een groot probleem, omdat het voor hackers een manier zou kunnen creëren om te identificeren waar de gebruiker toegang heeft tot de portemonnee.

Lupascu gepubliceerd een blog post waarin wordt uitgelegd hoe de kwetsbaarheid kan worden uitgebuit door een NFT-collectible te minten en te airdroppen naar een met MetaMask verbonden Ethereum-adres dat op een mobiele telefoon wordt gebruikt.

NFT's zijn digitale activa die het eigendom van inhoud zoals digitale kunst, muziek en memes aangeven. Ze bieden een manier om inhoud te tokeniseren, maar slaan doorgaans niet de daadwerkelijke inhoud op. Omdat het opslaan van beeldgegevens op een blockchain zoals Ethereum duur kan zijn, bevatten NFT's Uniform Resource Locators die naar de gegevens verwijzen. De inhoud voor NFT's wordt vaak opgeslagen op een gedecentraliseerd opslagnetwerk zoals IPFS of op externe gecentraliseerde cloudservers.

Standaard geeft de mobiele MetaMask-app NFT's weer die zijn opgeslagen in een adres met behulp van een URL-functieaanroep naar de afbeeldingsgegevens. Deze gegevens worden gehost op externe servers. Het proces wordt uitgevoerd zonder toestemming van de gebruiker te vragen om weer te geven welke NFT's zich in hun Ethereum-portemonnee bevinden.

Tijdens dit ophaalproces ontvangen alle servergateways die de overdracht van beeldgegevens afhandelen de IP-informatie van de gebruiker. Over het algemeen houden de projecten die de servers voor de beeldgegevens beheren de gegevens veilig.

In zijn onderzoek heeft Lupascu vastgesteld dat kwaadwillende entiteiten de IP-gegevens van MetaMask-gebruikers kunnen vinden en deze informatie kunnen misbruiken om gerichte aanvallen uit te voeren. In zijn blogpost legde Lupascu uit:

“Als een kwaadwillende actor alleen uw blockchain-adres kent, kan hij een NFT maken met een URL die naar zijn server verwijst en het eigendom van de NFT overdragen aan uw adres. Dus als uw crypto-portemonnee de externe afbeelding van de server ophaalt, brengt dit uw privacy in gevaar.”

Lupascu testte de kwetsbaarheid door een NFT op OpenSea te maken op basis van de ERC-1155-standaard. Vervolgens gebruikte hij een slimme contracteditor om de oorspronkelijke URL die aan de NFT was gekoppeld, te wijzigen zodat deze naar een nieuwe server onder zijn controle verwijst. Vervolgens stuurde Lupascu de NFT naar een Ethereum-adres. Toen hij via de mobiele MetaMask-app toegang kreeg tot het adres, verscheen zijn IP-adres op de server die hij beheerde. Hij zei dat het ongeveer $ 50 kostte om de aanval uit te voeren.

Lupascu vertelde Crypto Briefing dat hij het MetaMask-team medio december 2021 op de hoogte had gesteld van het probleem, wat betekent dat de Web3-portemonnee al minstens een maand op de hoogte is van het probleem. Het MetaMask-team beloofde tegen het tweede kwartaal van 2022 een patch uit te brengen – een tijdsbestek dat Lupascu als ‘onaanvaardbaar’ beschouwt gezien de ernst van de zaak.

“Alex heeft gelijk als hij ons erop aanspreekt dat we dit niet eerder hebben aangepakt. Begin er nu aan te werken. Bedankt voor de kick in de broek, en sorry dat we het nodig hadden.

Finlay heeft ook voorgesteld dat de portemonnee “standaard alleen IPFS-type links kon laden.” Bovendien zullen MetaMask-gebruikers expliciete toestemming moeten geven om NFT-gegevens op te halen die zijn opgeslagen op servers van derden.

Ondertussen zegt Lupascu dat hij vindt dat Ethereum-gebruikers waakzaam moeten zijn als ze via de lucht gedropte NFT's ontvangen, en dat het raadzaam is om deze alleen via OpenSea te benaderen. “Totdat dit probleem op de mobiele applicatie is opgelost, gebruik je de Open zee platform met elke Web3-compatibele portemonnee om uw verzamelobjecten te verkennen. Een vriendelijke herinnering aan iedereen dat privacy buiten de keten heel belangrijk is – verwaarloos deze niet”, zei hij.

De afgelopen maanden zijn NFT-verzamelaars voor miljoenen dollars aan digitale activa kwijtgeraakt door aanvallen, hacks en oplichting. Veel van de getroffen gebruikers bewaarden waardevolle NFT's van de Bored Ape Yacht Club en andere gewilde collecties op MetaMask-portemonnees en leden aan phishing-aanvallen. Omdat MetaMask een populaire portemonnee is, kunnen dieven relatief gemakkelijk geld aftappen zodra ze de privésleutel van een gebruiker hebben. Omdat de privésleutels voor een hot wallet kunnen worden aangetast door phishing- en malware-aanvallen, worden ze algemeen als minder veilig beschouwd dan opties voor koude opslag, zoals hardware wallets, die toegang tot een fysiek apparaat vereisen om toegang te krijgen tot het geld.

MetaMask is de populairste Web3-portemonnee voor toegang tot Ethereum en andere EVM-compatibele blockchain-netwerken. Volgens een ConsenSys-persbericht.

Openbaarmaking: op het moment van schrijven was de auteur van dit stuk eigenaar van ETH en andere cryptocurrencies.

Bron: https://cryptobriefing.com/ethereum-wallet-metamask-has-critical-privacy-vulnerability/?utm_source=main_feed&utm_medium=rss