安全指南:如何防禦MetaMask瀏覽器錢包漏洞?

語言: CN / TW / HK

原文標題:《一文了解如何免受 MetaMask 瀏覽器錢包安全漏洞的影響》

注:北京時間 6 月 16 日凌晨,ConsenSys 開發者 Dan Finlay 披露了 MetaMask 瀏覽器擴充套件錢包存在的安全漏洞,這可能導致一小部分使用者的錢包資金面臨被盜風險,對此問題,他給出了一些安全建議。

Halborn 的研究人員發現了一種情況,即在極少數情況下可以在磁碟上發現未加密的使用者金鑰,該問題已經在 10.11.3 版本的 MetaMask 瀏覽器擴充套件錢包以及更高版本的錢包中得到了修復。

背景

Halborn 的安全研究人員披露了一個例項,在某種情況下,可以從被攻擊的計算機磁碟中提取 MetaMask 等 Web 錢包使用的助記詞短語。

以下內容不會影響 MetaMask 移動端錢包使用者,而只會影響一小部分 MetaMask 瀏覽器擴充套件使用者以及其他瀏覽器/擴充套件錢包使用者。我們已經針對這些問題實施了緩解措施,因此對於 10.11.3 版本以及更高版本的 MetaMask 瀏覽器擴充套件錢包使用者來說,這些不應該是問題。注意,如果以下三個條件都適用於你,那你的錢包可能會面臨風險,你應該閱讀以下內容瞭解後續步驟:

你的硬碟未加密;你已經將助記詞短語匯入到裝置上的 MetaMask 瀏覽器擴充套件錢包中,而該裝置由你不信任的人擁有,或者你的計算機已經被黑。在匯入過程中,你使用了「顯示助記詞短語」(Show Secret Recovery Phrase)複選框在螢幕上檢視你的助記詞。(如下圖所示)

影響

這會影響:

1、我們測試過的所有桌面作業系統以及瀏覽器;

2、我們使用 Google Chrome、Chromium 和 Firefox 瀏覽器在 Windows、macOS 和 Linux 上進行了測試;

3、所有瀏覽器版本上的所有版本 MetaMask 擴充套件(v10.11.3 之前)錢包。

但這個漏洞不會影響 MetaMask 移動端錢包。

助記詞短語最終會被清除,但我們目前無法保證何時清除。

該漏洞最有可能影響那些在將助記詞匯入 MetaMask 後不久,裝置就遭到入侵或被盜的使用者。

如果你符合上述的所有條件,那那些有權訪問你計算機的人,就可能會拿到你的助記詞短語,因此你可能需要考慮從這些賬戶中將資金轉移出去以確保安全。我們準備了一份遷移賬戶資金的指南,使用任何第三方遷移工具都需要自行承擔風險。

注意,可以物理訪問你的計算機的人或惡意軟體可能會利用此漏洞進行攻擊,而如果你的裝置受到惡意軟體的攻擊,那有些攻擊是無法進行防禦的(例如鍵盤記錄器、直接記憶體訪問和程式控制)。

如果你認為自己容易受到該攻擊的影響

如果你的計算機有可能受到你不信任的人的影響,我們建議你在系統上啟用「全磁碟加密」。此外,如果你的資金是由一個硬體錢包管理,那你不會受到該漏洞的影響。

受影響的使用者應考慮將資金從舊錢包賬戶轉移到新的錢包賬戶地址。

本文件的其餘部分將提供一些額外的詳細資訊,以及有關如何最好地保護你的錢包安全的建議。稍後,我們將披露有關問題性質的更多細節,以便其他軟體開發人員可以自己避免這些問題,但目前我們會先提醒使用者,以最大程度地降低盜竊風險。

我有多安全?

如上文所述,如果你的計算機受到了威脅(無論是物理威脅還是惡意軟體),你都無法確定在該計算機上執行的任何程式的安全性。

這是流行的密碼管理器 1 Password 團隊已經承認並討論過的問題,1 Password 的首席安全架構師 Jeffrey Goldberg 解釋過要解決該問題的困難之處,他說:

「這是一個眾所周知的問題,之前該問題已經被公開討論過很多次,但任何看似合理的解決方案都可能比問題本身更糟糕。」

如果你使用的是密碼管理器,那麼你可能會比不使用密碼管理器的人更安全一些,但即使是用了密碼管理器,也無法避免漏洞問題。

結論

最終我們瞭解到,我們的密碼加密功能的安全性,部分會受到瀏覽器行為的破壞。由於瀏覽器本身認為物理訪問攻擊超出了其威脅模型,而我們當前的錢包是建立在瀏覽器之上的,因此事實證明,減少這種攻擊面的規模需要耗費大量人力,而且可能無法完全消除這種攻擊。最終,很可能只有「全磁碟加密」才能為你的計算機提供強大的物理計算機訪問安全性。

一般來說,計算機/瀏覽器等應該在某種程度上暫時或永久地儲存文字輸入。然而,由於保護你的助記詞短語的安全性有多麼重要,因此需要注意此特定場景,以便使用者可以採取相應的行動。

幸運的是,密碼似乎仍然提供了一定程度的安全性。我們發現,只有在非常特定的情況下才能提取助記詞短語,並且我們已經能夠在 Halborn 等待披露的時間段內引入新的保護措施,並且我們計劃實施更多的保護措施,以進一步降低這種風險。這意味著如果你不使用自己的錢包(或將你的計算機交給其他人),鎖定錢包仍然是一個好習慣。

一些重要的事:

1、請花點時間在你的計算機上啟用全盤加密。這是確保你的計算機不會被具有物理訪問許可權的人提取其所有內容的唯一方法。我們還建議使用者使用硬體錢包作為額外的安全措施。

2、清除你的瀏覽器快取資料(我們的研究表明,這在某些情況下可能對某些使用者有所幫助)

3、請記住,確保電腦保安是你的責任,如果執行它的系統受到威脅,任何錢包或軟體都無法保證自身的安全,花點時間學習如何讓計算機避免惡意軟體。