W SKRÓCIE

  • Badacze bezpieczeństwa z firmy Halborn odkryli lukę w większości portfeli bazujących na przeglądarkach internetowych, w tym MetaMask.
  • Problem ten dotyczy jednak niewielkiej grupy użytkowników.
  • Twórcy poprawili tę lukę w wersji 10.11.3 rozszerzenia MetaMask.
  • promo

Badacze bezpieczeństwa z firmy Halborn odkryli lukę w większości portfeli bazujących na przeglądarkach internetowych, w tym MetaMask. Problem ten dotyczy jednak niewielkiej grupy użytkowników.

Eksperci odkryli przypadek, w którym pod pewnymi warunkami można było wydobyć z dysku zagrożonego komputera tajną frazę odzyskiwania używaną przez portfele internetowe.

Twórcy poprawili tę lukę w wersji 10.11.3 rozszerzenia MetaMask.

Ostrzegli jednak, że zagrożeni mogą być użytkownicy, którzy spełniają poniższe warunki:

  • dysk twardy nie był zaszyfrowany;
  • fraza odzyskiwania została zaimportowana na cudze urządzenie lub komputer został narażony na ataki;
  • pole wyboru “Pokaż tajny zwrot odzyskiwania” zostało użyte w celu wyświetlenia tekstu na ekranie (jak na zdjęciu poniżej).
Źródło: MetaMask

Zespół MetaMask zauważył, że luka wynika z faktu, iż przeglądarki nie traktują ataków na dostęp fizyczny jako zagrożenia i przechowują wszystkie wprowadzane dane tekstowe w pamięci urządzenia. Tylko pełne szyfrowanie dysku może całkowicie wyeliminować to ryzyko.

Inne zalecenia programistów obejmują wyczyszczenie pamięci podręcznej przeglądarki i zabezpieczenie komputera programem antywirusowym.

Ani portfel, ani oprogramowanie nie są w stanie zapewnić sobie bezpieczeństwa, jeśli system, na którym działają, zostanie zagrożony.

Za ujawnienie luki Halborn otrzymał nagrodę w wysokości 50 tys. dolarów.

Bug Bounty MetaMaska

Przypomnijmy, że w czerwcu 2022 r. zespół MetaMask uruchomił program bug bounty we współpracy z platformą HackerOne.

Zgodnie z oświadczeniem, program ten ma na celu zapewnienie “maksymalnego bezpieczeństwa użytkownikom”. Wcześniej MetaMask nawiązał też współpracę z zespołem Asset Reality. Ich wspólne rozwiązanie pomaga odzyskać skradzione aktywa. Firma wyjaśniła w komunikacie:

HackerOne to platforma do wyszukiwania błędów. Wykorzystuje ona głęboką sieć badaczy i testerów cyberbezpieczeństwa do usuwania i naprawiania błędów różnej wielkości w Internecie.

Użytkownicy, którzy odkryją potencjalną lukę w zabezpieczeniach, mogą ją zgłosić za pośrednictwem serwisu HackerOne. MetaMask ostrzega jednak, że rozpatrzenie raportu i przeprowadzenie niezbędnych procedur może zająć trochę czasu.

🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024
🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024
🎄Najlepsze platformy dla krypto inwestorów | Grudzień 2024

Wyjaśnienie

Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.

Zbudowane przez Ari10. Możliwość płatności BLIK
Zbudowane przez Ari10. Możliwość płatności BLIK
photo_mzerelik.jpg
Zerelik Maciej
Podróże, nurkowanie, kryptowaluty, blockchain, mining. Zwolennik idei decentralizacji. Na bieżąco z branżą kryptowalut od około 3 lat. Prywatnie HODLer wielu topowych coinów
READ FULL BIO
Sponsorowane
Sponsorowane