Badacze bezpieczeństwa z firmy Halborn odkryli lukę w większości portfeli bazujących na przeglądarkach internetowych, w tym MetaMask. Problem ten dotyczy jednak niewielkiej grupy użytkowników.
Security researchers at @HalbornSecurity have disclosed a wallet vulnerability that affects a small segment of users across many browser-based wallets, including MetaMask.https://t.co/2tBl8BfISA
— MetaMask 🦊💙 (@MetaMask) June 15, 2022
1/ 🧵
Eksperci odkryli przypadek, w którym pod pewnymi warunkami można było wydobyć z dysku zagrożonego komputera tajną frazę odzyskiwania używaną przez portfele internetowe.
Twórcy poprawili tę lukę w wersji 10.11.3 rozszerzenia MetaMask.
Ostrzegli jednak, że zagrożeni mogą być użytkownicy, którzy spełniają poniższe warunki:
- dysk twardy nie był zaszyfrowany;
- fraza odzyskiwania została zaimportowana na cudze urządzenie lub komputer został narażony na ataki;
- pole wyboru “Pokaż tajny zwrot odzyskiwania” zostało użyte w celu wyświetlenia tekstu na ekranie (jak na zdjęciu poniżej).
Zespół MetaMask zauważył, że luka wynika z faktu, iż przeglądarki nie traktują ataków na dostęp fizyczny jako zagrożenia i przechowują wszystkie wprowadzane dane tekstowe w pamięci urządzenia. Tylko pełne szyfrowanie dysku może całkowicie wyeliminować to ryzyko.
Inne zalecenia programistów obejmują wyczyszczenie pamięci podręcznej przeglądarki i zabezpieczenie komputera programem antywirusowym.
Ani portfel, ani oprogramowanie nie są w stanie zapewnić sobie bezpieczeństwa, jeśli system, na którym działają, zostanie zagrożony.
Za ujawnienie luki Halborn otrzymał nagrodę w wysokości 50 tys. dolarów.
Bug Bounty MetaMaska
Przypomnijmy, że w czerwcu 2022 r. zespół MetaMask uruchomił program bug bounty we współpracy z platformą HackerOne.
Security is paramount to MetaMask and to this entire industry. 🦊🛡️
— MetaMask 🦊💙 (@MetaMask) June 13, 2022
As part of our ongoing efforts to make our users as safe as possible, we’re happy to announce a partnership with @Hacker0x01 for a bounty program!https://t.co/miHHtpgNrB
🧵👇
Zgodnie z oświadczeniem, program ten ma na celu zapewnienie “maksymalnego bezpieczeństwa użytkownikom”. Wcześniej MetaMask nawiązał też współpracę z zespołem Asset Reality. Ich wspólne rozwiązanie pomaga odzyskać skradzione aktywa. Firma wyjaśniła w komunikacie:
HackerOne to platforma do wyszukiwania błędów. Wykorzystuje ona głęboką sieć badaczy i testerów cyberbezpieczeństwa do usuwania i naprawiania błędów różnej wielkości w Internecie.
Użytkownicy, którzy odkryją potencjalną lukę w zabezpieczeniach, mogą ją zgłosić za pośrednictwem serwisu HackerOne. MetaMask ostrzega jednak, że rozpatrzenie raportu i przeprowadzenie niezbędnych procedur może zająć trochę czasu.
After submitting a report, please be patient as we process it and go through the proper procedures. 🔍
— MetaMask 🦊💙 (@MetaMask) June 13, 2022
We want to keep building a safer and more accessible web3 – feel free to get involved and make it safer alongside us! ❤️
4/4
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
