详情
转发提醒 MetaMask小狐狸钱包安全通知 怎么样应付拓展程序潜在的私钥泄露

翻译:王尔玉、h3ANews

出处:金色财经

撰文:Dan Finlay,MetaMask

Halborn研究职员发现了一个问题:极少数状况下,可以在硬盘上找到未加密的用户私匙,该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复

2. 清除浏览器缓存

3. 请牢记,确保电脑安全是你的责任。假如电脑系统被入侵,任何钱包或软件都没办法保证安全。请花时间学习怎么样防止电脑被植入病毒。

MetaMask要感谢Halborn团队负责任地披露这一漏洞,并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授与了5万USD奖金。

背景

Halborn安全研究职员披露了一个实例,发目前某些条件下,可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会干扰MetaMask 手机端钱包用户,但会干扰一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。知道该问题后,MetaMask已推行弥补手段,现在对于用10.11.3 及更高版本的MetaMask浏览器扩展钱包用户,风险已经解除。但假如你满足以下3个条件,仍可能面临风险,请阅读下文,采取后续步骤:

这会干扰到:

l 大家测试过的所有桌面操作系统和浏览器。

l 大家用了Google Chrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。

l 所有浏览器版本上的所有MetaMask插件钱包。

假如觉得自己面临风险

假如有不信赖的人可以用你的电脑,大家建议你启用全硬盘加密。而假如你的资金由硬件钱包管理,你将不受影响。

受影响的用户应考虑将资金从用有关助记词生成的旧钱包竞价推广账户转移至由新助记词生成的新竞价推广账户。大家提供了一份指南来帮助有需要的用户实行此操作,并给出了可简化该步骤的软件选择。

下文将提供更多详细情况,与关于怎么样最好地保障钱包安全的建议。稍后大家将披露有关该问题性质的更多细节,以帮助其他软件开发职员防止这类问题。但现在,大家第一要-提醒用户,以最大程度地减少偷窃风险。

l MetaMask 手机端钱包不受影响。

助记词最后会被清除,但大家现在没办法保证何时清除。

该漏洞最大概影响到将助记词导入MetaMask后不久,其设施就被入侵或失窃的用户。

假如你满足所有上述条件,那样能访问你导入助记词的电脑的人就大概获得你的助记词,你最好将资金从有关帐户中迁移出去,以确保安全。大家在此提供了一份迁移竞价推广账户资金指南,用任何第三方迁移工具都需要你自担风险。

无论是可以直接用还是通过恶意软件控制你的设施的人都可以借助此漏洞。而假如设施已被恶意软件入侵,你还可能面临很多其他大家没办法防御的攻击。

我的安全性怎么样?

如上文所述,假如一台电脑被入侵,你将没办法保障其中运行的任何程序的安全。

时尚的密码管理器1password团队探讨过这个问题。1password首席安全构造师Jeffrey Goldberg讲解知道决该问题的困难程度:“这个问题广为人知,并已被公开讨论过多次,但任何看上去适当的弥补策略都或许会成事不足败事有余。”

用密码管理器可能比不用要安全,但也难以完全防止这一问题的影响。

重点提示:

1. 为电脑启用全硬盘加密。这是保障对你的电脑有物理访问权限的人没办法提取所有内容的唯一办法。大家也推荐使用硬件钱包提供额外的安全保障。

结论

MetaMask最后发现,密码加密功能的部分安全性遭到了浏览器行为的破坏。因为浏览器本身觉得物理访问攻击超出了威胁模型范畴,而钱包是打造在浏览器之上的,因此要缩减这种攻击面需要耗费很多人力,即使这样也难以完全消除风险。说到底,可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。

这是你本该预期的风险吗?这取决于你是不是觉得可以在硬盘上恢复助记词。假如你觉得我们的电脑需要时刻维持安全,那样应该没问题。但假如你觉得MetaMask密码能保证只须没办法用你电脑的人就没办法提取你的帐户,恐怕就说不准了。

从更高的层面上,大家应该常见预期计算机、浏览器等都会多多少少存储输入的文本内容,不论是暂时的还是永久的。鉴于保护助记词的重要程度,大家需要对这个具体场景引起注意,以便让用户采取相应的行动。

幸运的是,密码好像仍然提供了一定量的安全性。大家发现助记词只有在很特定的状况下才可能被提取出来。在Halborn等待披露的这期间内,大家已经引入了新的保护手段,并计划推行更多手段。MetaMask将继续引入更多安全机制,以进一步减少风险。这意味着当你不用钱包时,给钱包上锁仍是一个好习惯。

影响

l 硬盘未加密

l 你将助记词导入了某个不信赖的人的设施的MetaMask插件程序中,或者个人电脑已被入侵

l 导入过程中,你曾打开“显示助记词”选项,在屏幕上查询助记词。

版权保护: 本文由 T12区块链 原创,转载请保留链接: http://www.egfi.cn//xinwen/1883.html