Halborn研究人员发现了一个问题:极少数情况下,可以在硬盘上找到未加密的用户私匙,该问题已在10.11.3及更高版本的MetaMask浏览器扩展钱包中得到修复
背景
Halborn安全研究人员披露了一个实例,发现在某些条件下,可以从入侵的电脑硬盘中提取MetaMask等网页钱包的助记词。以下内容不会影响MetaMask 移动端钱包用户,但会影响一小部分MetaMask浏览器扩展钱包用户及其他浏览器/插件钱包用户。这会使一些用户面临风险。了解该问题后,MetaMask已实施补救措施,目前对于使用10.11.3 及更高版本的MetaMask浏览器扩展钱包用户,风险已经解除。但如果您满足以下3个条件,仍可能面临风险,请阅读下文,采取后续步骤:
l 硬盘未加密
l 您将助记词导入了某个不信任的人的设备的MetaMask插件程序中,或者个人电脑已被入侵
l 导入过程中,您曾打开“显示助记词”选项,在屏幕上查看助记词。(如图所示)
影响
这会影响到:
l 我们测试过的所有桌面操作系统和浏览器。
l 我们使用了Google Chrome、Chromium和火狐浏览器在Windows、macOS和Linux上进行了测试。
l 所有浏览器版本上的所有MetaMask插件钱包(v10.11.3之前)。
l MetaMask 移动端钱包不受影响。
助记词最终会被清除,但我们目前无法保证何时清除。
该漏洞最有可能影响到将助记词导入MetaMask后不久,其设备就被入侵或被盗的用户。
如果您满足所有上述条件,那么能访问您导入助记词的电脑的人就有可能获得您的助记词,您最好将资金从相关帐户中迁移出去,以确保安全。我们在此提供了一份迁移账户资金指南,使用任何第三方迁移工具都需要您自担风险。
无论是可以直接使用还是通过恶意软件控制您的设备的人都可以利用此漏洞。而如果设备已被恶意软件入侵,您还可能面临许多其他我们无法防御的攻击(如键盘记录器、直接访问内存、控制程序等)。
如果认为自己面临风险
如果有不信任的人可以使用您的电脑,我们建议您启用全硬盘加密。而如果您的资金由硬件钱包管理,您将不受影响。
受影响的用户应考虑将资金从使用相关助记词生成的旧钱包账户转移至由新助记词生成的新账户。我们提供了一份指南来帮助有需要的用户执行此操作,并给出了可简化该流程的软件选择。
下文将提供更多详情,以及关于如何最好地保障钱包安全的建议。稍后我们将披露有关该问题性质的更多细节,以帮助其他软件开发人员避免这些问题。但目前,我们首先要-提醒用户,以最大程度地降低盗窃风险。
我的安全性如何?
如上文所述,如果一台电脑被入侵(能被他人使用或被恶意软件入侵),您将无法保障其中运行的任何程序的安全。
流行的密码管理器1Password团队探讨过这个问题。1Password首席安全架构师Jeffrey Goldberg解释了解决该问题的难度:“这个问题广为人知,并已被公开讨论过多次,但任何看似合理的补救方案都可能会成事不足败事有余。”
使用密码管理器可能比不使用要安全,但也难以完全避免这一问题的影响。
结论
MetaMask最终发现,密码加密功能的部分安全性受到了浏览器行为的破坏。由于浏览器本身认为物理访问攻击(他人访问相关设备)超出了威胁模型范畴,而钱包是建立在浏览器之上的,因此要缩减这种攻击面需要耗费大量人力,即便如此也难以完全消除风险。说到底,可能只有全硬盘加密才能为电脑提供强大的抵御物理访问攻击的安全性。
这是您本该预期的风险吗?这取决于您是否认为可以在硬盘上恢复助记词。如果您认为自己的电脑需要时刻保持安全,那么应该没问题。但如果您认为MetaMask密码能保证只要无法使用您电脑的人就无法提取您的帐户,恐怕就说不准了。
从更高的层面上,我们应该普遍预期计算机、浏览器等都会多多少少存储输入的文本内容,不论是暂时的还是永久的。鉴于保护助记词的重要性,我们需要对这个具体场景引起注意,以便让用户采取相应的行动。
幸运的是,密码似乎仍然提供了一定程度的安全性。我们发现助记词只有在非常特定的情况下才可能被提取出来。在Halborn等待披露的这段时间内,我们已经引入了新的保护措施,并计划实施更多措施。MetaMask将继续引入更多安全机制,以进一步降低风险。这意味着当您不使用钱包(或将电脑交给他人)时,给钱包上锁仍是一个好习惯。
重点提示:
1. 为电脑启用全硬盘加密。这是保障对您的电脑有物理访问权限的人无法提取所有内容的唯一方法。我们也建议使用硬件钱包提供额外的安全保障。
2. 清除浏览器缓存(我们的研究表明这样做能在某些情况下帮到某些用户)
3. 请牢记,确保电脑安全是您的责任。如果电脑系统被入侵,任何钱包或软件都无法保证安全。请花时间学习如何避免电脑被植入病毒。
MetaMask要感谢Halborn团队负责任地披露这一漏洞,并感谢他们为保护加密空间付出的所有辛勤工作。为这一发现向Halborn授予了5万美元奖金。
撰文:Dan Finlay,MetaMask
翻译:王尔玉、PANews
如何下载MetaMask钱包?三分钟学会Me
金融动态
MetaMask是冷钱包还是热钱包?
金融动态
MetaMask 钱包的剖析
金融动态
BTSE集成去中心化钱包MetaMask和Wa
金融动态
如何下载MetaMask钱包?三分钟学会Me
金融动态
如何下载MetaMask钱包?三分钟学会Me
金融动态
MetaMask怎么添加币安智能链?MetaMa
金融动态
MetaMask 钱包的剖析
金融动态
火币2022交易
金融理财
Imtoken钱包最新版
金融理财
比特派钱包
金融理财
tp钱包app
金融理财
中本聪app最新版本安卓
金融理财
token.im 钱包
金融理财
im token官网钱包版
金融理财
比特派钱包官网版
金融理财
小狐狸钱包成立于2016年1月1日,目前已经发展了6年时间,支持的币种数量为8个,在全球数字货币钱包中能够排在前五
进入币圈的投资者应该都进行过交易所提现的功能,其实在数字货币交易平台和数字货币钱包中,平台上展现的“提现
SUTER币项目可以说是数字货币市场催生的产物,因为单纯隐私币的应用场景难以扩大,而隐私层的需求变大,大多数的
要说起数字货币钱包的话,今天聚链网小编要给大家介绍一些名气比较小的钱包——OmniWallet钱包,目前OmniWallet
Avalanche钱包是一个开源区块链平台,主要用于启动高度去中心化的应用、新的金融原生态、新的可互操作系统,根
提起数字货币钱包,大家一定会想到小狐狸钱包,它在币圈中发展的很好,并且有许多投资者都是小狐狸钱包的忠实用户
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
时间:2022-09-26
