Home technology

MetaMask, Phantom zbulon cenueshmërinë që vë në rrezik kredencialet e përdoruesit

MetaMask, Phantom zbulon cenueshmërinë që vë në rrezik kredencialet e përdoruesit

MetaMask, Phantom dhe kuletat e tjera të shfletuesit zbuluan në një postim në blog të publikuar të mërkurën se ata korrigjuan një cenueshmëri kritike të sigurisë. Dobësia mund të ketë ekspozuar kredencialet e ndjeshme të hyrjes së përdoruesit në pajisjet që ishin komprometuar.

Megjithatë, ofruesit e portofolit deklaruan se nuk ka asnjë provë për të besuar se dobësia është shfrytëzuar ndonjëherë dhe nuk dihet se asnjë fond përdoruesi është ndikuar prej tij.

Një sfond mbi cenueshmërinë

Defekti u zbulua pas një njoftimi për MetaMask dhe Phantom nga firma e sigurisë së zinxhirit të bllokimit Halborn. Halborn zbuloi se fraza e rimëkëmbjes sekrete e përdorur nga kuletat e bazuara në ueb (MetaMask, Phantom) mund të nxirret nga një makinë e komprometuar në kushte specifike. Halborn deklaroi se dobësia nuk ndikoi tek përdoruesit celularë të MetaMask dhe ndikoi vetëm në një pjesë të vogël të përdoruesve të shtesës MetaMask, së bashku me përdoruesit e shtesave dhe kuletave të tjera të shfletuesit.

Pra, kush është në rrezik?

Si MetaMask ashtu edhe Phantom nuk po rekomandojnë që përdoruesit të ndërmarrin ndonjë veprim drastik. Veprimi i vetëm i rekomanduar për përdoruesit ishte përditësimi i shfletuesve të tyre për të siguruar që kuletat/shtesat e tyre të ekzekutojnë versionet e tyre më të fundit dhe të përditësuara të softuerit. MetaMask, në postimin e saj në blog, deklaroi se përdoruesit duhet të shqetësohen vetëm nëse përputhen me kriteret e mëposhtme.

  • Hard disku i makinës suaj nuk ishte i koduar.
  • Nëse ju, si përdorues, keni importuar frazën tuaj të rikuperimit sekret në një shtesë të pajisjes MetaMask në një pajisje tjetër që aktualisht nuk është në zotërimin tuaj, ose në posedim të ndonjë individi të cilit nuk i besoni ose nëse mendoni se kompjuteri juaj është i rrezikuar.
  • Nëse keni përdorur kutinë e zgjedhjes "Trego frazën e rikuperimit sekret" dhe keni parë frazën tuaj të rikuperimit sekret në ekran gjatë procesit të importimit.

MetaMask tha në postimin e saj në blog,

“Nëse kompjuteri juaj nuk është fizikisht i sigurt nga njerëzit që nuk keni besim, ju rekomandojmë të aktivizoni enkriptimin e plotë të diskut në sistemin tuaj. Për më tepër, ju nuk ndikoheni nga kjo nëse fondet tuaja menaxhohen nga një portofol harduer."

Postimi në blog i Phantom shprehte gjerësisht të njëjtat gjëra si postimi i blogut MetaMask.

Postimi gjithashtu thoshte se cenueshmëria ndikon

  • Të gjitha sistemet operative të desktopit dhe shtesat e shfletuesit.
  • Të gjitha versionet e MetaMask më të vjetra se v10.11.3 në të gjitha versionet e shfletuesit.

Si Lindi Dobësia

Dobësia ndodhi falë një çuditshmërie në gjuhën e programimit Javascript, e cila ndonjëherë rezultoi në ruajtjen e frazës sekrete të rimëkëmbjes së përdoruesit në vend për një kohë specifike (për sa kohë ndryshon nga pajisja në pajisje). Nëse fraza futej në një pajisje të pasigurt ose të pabesueshme, një sulmues mund ta rrëshqiste atë nga memoria e makinës nëse do të dinte se ku të kërkonte, duke i lejuar ata të fitojnë kontrollin e fondeve të një personi.

MetaMask lëshoi një rregullim për të rregulluar defektin në mars 2022, ndërsa Phantom u informua për defektin në shtator 2021 dhe lëshoi disa arna për të rregulluar problemin midis janarit dhe prillit.

Probleme të mëparshme me MetaMask 

MetaMask është përballur edhe me disa probleme në të kaluarën. Në prill, MetaMask paralajmëroi përdoruesit e saj për potencialin e një sulmi phishing përmes llogarive të tyre iCloud. Përdoruesit ishin të cenueshëm ndaj hakimit të mundshëm nëse kishin opsionin e rezervimit të iCloud të aktivizuar në aplikacion. Vetëm një muaj para këtij paralajmërimi, platforma ishte vënë nën kritika nga Crypto Twitter pasi një ngatërresë çoi në bllokimin e përdoruesve venezuelas nga aksesi i shërbimeve. Kjo ndodhi ndërsa MetaMask dhe Infura u përpoqën të respektonin sanksionet e shpallura nga Shtetet e Bashkuara të Amerikës.

Mohim përgjegjësie: Ky artikull ofrohet vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë ligjore, tatimore, investuese, financiare ose të tjera.

 

reklama

Advertisement