A popular carteira de ativos digitais MetaMask eliminou uma vulnerabilidade que poderia resultar na perda de criptomoedas.
Na verdade, quem descobriu a falha foi a United Global Whitehat Security Team (UGWST). A organização recebeu da MetaMask US$ 120.000 como recompensa pelo feito.
De acordo com a empresa, os analistas René Kroka e José Almeida acharam a falha crítica de segurança na carteira.
No entanto, a empresa destacou que agentes maliciosos não chegaram a explorar a falha. Além disso, a equipe da MetaMask disse que já corrigiu o problema para os seus usuários.
“A vulnerabilidade, que afetava apenas a extensão do navegador, consistia na capacidade de executar a extensão MetaMask como uma camada oculta em cima de outro site. Isso permitia que os invasores induzissem os usuários a revelar seus dados privados ou enviar criptoativos sem perceber”, destacou a MetaMask.
Falha crítica na MetaMask
Conforme destacou a empresa, os usuários podem ver a extensão do navegador MetaMask de duas formas.
A primeira é através de uma pequena janela em forma retangular que aparece na barra do navegador ao clicar em seu ícone. Enquanto isso, a segunda forma consiste em uma visualização de página inteira.
Ou seja, a extensão não pode e nem deve ser vista em um iframe. Iframe é um recurso de HTML que permite aos usuários visualizar o conteúdo de um site em uma página da Web diferente.
A equipe explicou que, por si só, o iframe não é malicioso e nem representa uma ameaça à segurança. Mas agentes maliciosos podem usá-la para enganar os usuários. Essa técnica é conhecida como clickjacking.
Entenda a técnica de clickjacking
Na prática, a técnica ocultava o fato de que a extensão da carteira estava aberta na web. Por exemplo, um usuário pode acessar uma página da web como de um videogame no navegador. Então, ele precisa clicar em vários botões para configurar o jogo e começar a jogá-lo.
“Então, ele clica nesses prompts sem perceber que o jogo impôs sobre ele sua extensão MetaMask aberta em um iframe. Assim, em vez de clicar nos prompts de um videogame, ele está clicando por meio de prompts no MetaMask para enviar seus ativos digitais a um agente malicioso”, esclareceu a equipe.
Por fim, a equipe pediu que os usuários certifiquem-se de que sua extensão MetaMask está, ao menos, na versão 10.14.6.
Leia também: Itaú coordenará emissão de primeiras debêntures tokenizadas do Brasil
Leia também: B3 é autorizada pela CVM a lançar empresa de ativos digitais
Leia também: Real digital terá limites de saques e ‘circuit breakers’ para evitar corrida bancária; entenda