افشاء آدرس اتریوم کاربران توسط افزونه‌ی Metamask

افشاء آدرس کاربران

براساس گزارشاتی که اخیرا در وب‌سایت Github به ثبت رسیده است، در زمان بازدید کاربر از وب‌سایت‌های پیش‌فرض موجود در افزونه‌ی مرورگر Metamask، تمام آدرس‌های اتریوم(با نماد ETH) کاربران به این وب‌سایت‌ها ارائه می‌شود.

Metamask در واقع یک افزونه‌ی مرورگر است که در مرورگر Brave ارائه شده و با مرورگر‌های دیگری همچون Mozilla Firefox، Google Chrome و مرورگر Opera نیز سازگاری کامل دارد. این افزونه به کاربران خود اجازه می‌دهد تا با نرم‌افزار‌های غیرمتمرکز(dApp) مبتنی بر اتریوم ارتباط متقابل داشته باشند. براساس گزارش مربوط به این مشکل که در پلت‌فرم Github عنوان شده است، در زمان بازدید از وب‌سایت‌هایی که در تنظیمات پیش‌فرض افزونه‌ی Metamask وجود دارند، این افزونه تمام آدرس‌های اتریوم کاربر خود را به این وب‌سایت‌ها ارائه می‌کند. در این پست مشخص شده که آدرس‌های اتریوم به عنوان آبجکت‌های ویندوز(Window Objects) در آبجکت‌های داده(Data Objects) موجود در پیام‌های ارسالی نمایش داده می‌شوند.

براساس گزارشات، این نقض ممکن است منجر به شناسایی کاربران شده و باعث شود تا نرم‌افزار‌های غیرمتمرکز حساس به حریم‌ خصوصی دیگر از Metamask استفاده نکنند. به طور دقیق‌تر، این کاربر که مشکلات فوق را گزارش داده، به مواردی از جمله هک شدن یکی از نرم‌افزار‌های غیرمتمرکز مرتبط با سلامت اشاره کرد.

علاوه بر موارد گفته شده، نه تنها مدیران وب‌سایت‌های بازدید شده دسترسی کاملی به آدرس‌های Metamask کاربران خواهند داشت، بلکه به اصطلاح دنبال کننده‌ها یا Trackerها(مواردی همچون لایک دکمه‌ی اشتراک گذاری در فیس‌بوک، دکمه‌ی توییت مجدد در پلت‌فرم توییتر و سیستم‌های مشابه ) نیز می‌توانند مرورگر و کاربر آن‌ را شناسایی کنند. کاربر مذکور در Github همچنین توضیح داده است که انتظار می‌رود «این انتشار پیام‌ها در طولانی مدت باعش کاهش ارزش اتریوم شوند».

پاسخ توسعه‌دهندگان

یک توسعه‌دهنده‌ به نام دن میلر(Dan Miller) در پاسخ به این مسئله اظهار نموده که فعال کردن حالت خصوصی(private mode) در افزونه‌ی مذکور باعث حل شدن مشکل خواهد شد. البته پس از مدت کوتاهی این کاربر پاسخ داده بود که استفاده از این حالت نیز باعث رفع مشکل نشده است. آقای دنیل فینلی(Daniel Finlay) یکی از توسعه‌دهندگان نرم‌افزار فعال در کمپانی ConsenSys نیز قبول کرده است که حالت خصوصی باید به صورت پیش‌فرض در افزونه‌ی Metamask فعال باشد، و موارد مرتبط با حریم خصوصی در این افزونه باید بهبود یابد.

در نهایت آقای فینلی به ادعا‌ی کاربران مبنی بر اینکه عدم ویژگی‌های حریم خصوصی این نرم‌افزار به صورت ذاتی به نوعی بدافزار محسوب می‌شوند، پاسخ داد:

ما قطعا تمام ادعاهای شما مبنی بر اینکه بعضی از اقدامات این به فعالیت‌های بدافزار‌های عجیب و غریب مربوط است را رد می‌کنیم. این کار می‌تواند احمقانه‌ترین کاری باشد که ما می‌توانیم در یک پروژه‌ی رمزارزی منبع باز انجام دهیم. Daniel Finlay

همانطور که قبلا در ماه نوامبر سال گذشته گزارش شده است، Metamask قبلا از یک نسخه‌ی تلفن همراه نرم‌افزار خود رونمایی کرده، اما هنوز نسخه‌ی کاملی از آن منتشر نشده است. با این حال، یک بدافزار با جعل هویت این افزونه در پلت‌فرم Google Play منتشر شده بود که متعاقبا در ماه فوریه از این فروشگاه نرم‌افزاری حذف شد.

نظر شما در رابطه با این مشکل چیست؟ چه راه‌حلی برای رفع آن وجود دارد؟ نظرات خود را با ما به اشتراک بگذارید.