Blockchain Stories
Image default
Nieuws

Identiteit gebruikers Metamask eenvoudig te achterhalen

door Arnold Hubach

De kans is groot dat jij Metamask gebruikt. Dit is namelijk de grootste Ethereum-extensie voor in je browser. Naar verluidt stuurt deze extensie ETH-adressen door naar alle websites die jij bezoekt. Dit is op Github op 20 maart naar buiten gesuggereerd door ene projectoblio.

Metamask extensie

Metamask is een extensie die onder andere aan de Brave browser, Google Chrome, Mozilla Firefox en Opera toegevoegd kan worden. Het is een tooltje dat heel makkelijk te gebruiken is als je wilt communiceren met Ethereum-gebaseerde dApps. Je kunt er betalingen mee doen en je kunt er ook cryptomunten mee opslaan.

Nu schijnt het echter dat Metamask meer doet dan alleen dit. Als je nog in de default settings zit, sluist de extensie de Ethereum adressen van de gebruiker door naar de websites die bezocht worden. Deze adressen staan in de data objects (die uitgaande ‘berichten’ kunnen versturen) en niet enkel in de window objects (die enkel laten zien wat er op de site getoond wordt).

Link naar gevoelige informatie

Volgens het rapport kan dit leiden tot de identificatie van gebruikers. Hierdoor is het dus niet aan te raden om Metamast te gebruiken voor privacygevoelige dApp’s. De Github-post geeft voorbeelden van de recent gehackte porno-dApp Spankchain en een gezondheids-dapps, die eenvoudig naar de identiteit van de gebruikers kunnen leiden.

Daarbovenop zijn het niet enkel en alleen de administratoren van deze websites die de adressen kunnen zien. Ook trackers die op de website aanwezig zijn, krijgen toegang tot deze gegevens. Denk hierbij aan Facebook-like of share-knoppen, de Twitter-retweet plug-ins en vergelijkbare systemen die in de browser actief kunnen zijn. Jouw social media, gekoppeld aan jouw Ethereum adressen: het klinkt niet als een hele fijne combinatie.

Als antwoord op het GitHub-probleem stelde ontwikkelaar Dan Miller voor dat het inschakelen van de privémodus van de browser het probleem oplost. De auteur van het rapport antwoordt echter dat dit helemaal niets uit maakt. ConsenSys-softwareontwikkelaar Daniel Finlay gaf bijval en vermeldde het ermee eens zijn dat beter is om de privacymodus van de browser automatisch in te schakelen. De privacy van de extensie kan uiteraard ook enorm verbeterd worden. De hele discussie onder de originele Github-post is hier te lezen.

Avatar foto
Arnold studeert Industrieel Product Ontwerpen op het Windesheim in Zwolle. Naast cryptocurrency vult hij z'n vrije tijd op met tafeltennis, video-editting en muziek. Naast de reguliere nieuwsartikelen, kun je elke week een post over Universa verwachten

Gerelateerde artikelen

Nog steeds crypto phishing websites op Google Ads

Wanisha Balak

Nieuwe Hashdex Bitcoin reclame uitgebracht voor de Bitcoin halving

Wanisha Balak

Binance wil terugkeren naar India na boete van $ 2 miljoen en verbanning

Marijn van Leeuwen

Deze website maakt gebruik van cookies om uw ervaring te verbeteren. We gaan ervan uit dat u hiermee akkoord gaat, maar u kunt zich afmelden als u dat wenst. Accepteer Lees meer