Por Hannah Pérez  

Una investigación reciente reveló que la app móvil de Metamask enfrenta una vulnerabilidad de privacidad crítica. El CEO de la billetera confirmó el problema y se ha comprometido a solucionarlo. 

***

Metamask, una popular billetera de criptomonedas de navegador web, enfrenta una vulnerabilidad de privacidad crítica, según señaló un informe de seguridad reciente. El medio de noticias CryptoBriefing reportó la noticia.

El analista de seguridad, Alexandru Lupascu, cofundador del servicio de nodo de privacidad OMNIA Protocol, compartió el jueves un informe en su blog donde advierte que los usuarios de Metamask que podrían estar poniendo en riesgo su privacidad al usar la billetera.

Lupascu dijo que él y su equipo de investigadores se han encontrado con una vulnerabilidad dentro de la aplicación móvil de Metamask que brinda a los piratas informáticos una forma de conocer la dirección IP de los usuarios de la billetera.

La vulnerabilidad plantea un riesgo de privacidad que no es menor. De acuerdo con el informe, “tiene el potencial de ser ocho veces más devastador que un ataque de denegación de servicio distribuido (DDoS)“.

Cabe señalar que una dirección IP, que son las siglas para Internet Protocol, es una etiqueta numérica única que identifica a una interfaz en la red de un dispositivo conectado a la web; puede ser una computadora, un teléfono inteligente, una tablet, etc.

Privacidad de los usuarios de Metamask está expuesta

Específicamente, la vulnerabilidad encontrada en la Metamask podría permitir a actores maliciosos conocer la ubicación desde donde acceder los usuarios de criptomonedas a la aplicación de billetera. El analista advirtió al respecto que el impacto de la vulnerabilidad puede ser mucho más grave que una simple filtración de datos.

No subestime el riesgo asociado con las filtraciones de IP: si los actores malintencionados obtienen más información de la dirección IP (piense en la geolocalización, el operador GSM, etc.), pueden convertirlo en un riesgo físico, como un secuestro.

En la publicación de blog, Lupasco describió cómo puede hacer un pirata informático para obtener la dirección IP de un usuario. Explicó que la vulnerabilidad se puede explotar mediante el envío de un token no fungible (NFT) a una dirección Ethereum de la víctima. Además, se se trata de un ataque relativamente económico, de solo USD $50, dijo.

Si un actor malintencionado solo conoce su dirección de cadena de bloques, puede crear un NFT con una URL que apunte a su servidor y transferir la propiedad del NFT a su dirección. Por lo tanto, cuando su billetera criptográfica obtenga la imagen remota del servidor, comprometerá su privacidad.

El analista probó el posible ataque acuñando un NFT en el mercado de OpenSea. Luego usó un editor de contratos inteligentes para cambiar la URL original vinculada al NFT para apuntar a un servidor bajo su control. Procedió a enviar el coleccionable a una dirección Ethereum. Dijo que cuando accedió a la dirección a través de la app móvil de Metamask, su dirección de IP apareció en el servidor bajo su control.

Detalles técnicos sobre la vulnerabilidad

Los NFT son activos digitales que denotan la propiedad de contenido digital como imágenes, música, videos y más. Ofrecen una forma de tokenizar archivos, pero normalmente no almacenan el contenido real. Dado que almacenar datos de imágenes en una cadena de bloques como Ethereum puede ser costoso, los NFT contienen localizadores uniformes de recursos que apuntan a los datos. El contenido de los NFT a menudo se almacena en una red de almacenamiento descentralizada como IPFS o en servidores de nube centralizados remotos.

De forma predeterminada, la aplicación móvil de MetaMask muestra los NFT almacenados en una dirección mediante una llamada de función de URL plegada a los datos de la imagen. Estos datos están alojados en servidores remotos. El proceso se realiza sin solicitar el consentimiento del usuario para mostrar cuáles NFT contiene su billetera Ethereum.

Durante este proceso de obtención, todas las puertas de enlace del servidor que manejan la transmisión de datos de imagen reciben la información de IP del usuario. Generalmente, los proyectos que operan los servidores para los datos de imagen mantienen los datos seguros.

En su investigación, Lupascu determinó que las entidades maliciosas pueden encontrar los datos de IP de los usuarios de MetaMask y explotar la información para ejecutar ataques dirigidos. Asimismo, es posible que se lleven a cabo ataques masivos mediante el lanzamiento de airdrops (o distribución gratuita) de NFT. 

Un actor altamente motivado podría crear una gran cantidad de NFT, dirigirlos todos a una sola URL y lanzarlos mediante aridrop a millones de usuarios, realizando así ataques DDoS en esa URL a una escala que nunca antes se había visto.

Metamask ya está al tanto del problema

En su informe, Lupascu indicó que había revelado la vulnerabilidad a los desarrolladores de Metamask en diciembre, después de que su equipo diera con el hallazgo. En ese momento, la empresa admitió que ya conocía el problema y aseguró que estaban trabajando activamente para solucionar la brecha. Metamask prometió lanzar una corrección para el segundo trimestre de 2022, un cronograma de tiempo que Lupascu calificó de “inaceptable” en la entrada. 

El CEO de Metamask, Daniel Finlay, respondió a la publicación en Twitter y reconoció la existencia de la vulnerabilidad dentro de la versión actual de la billetera. Finlay además estuvo de acuerdo con las acusaciones hechas por Lupasco y se comprometió a desplegar una solución lo antes posible.

Sí, creo que este problema ha sido ampliamente conocido desde hace mucho tiempo[…] Alex tiene razón al llamarnos por no abordarlo antes. Comenzando a trabajar en eso ahora. Gracias por la patada en los pantalones, y siento que lo necesitáramos.

Mientras tanto, y hasta que salga un parche que corrija la vulnerabilidad, Lupascu ha recomendado a los usuarios de la billetera a mantenerse atentos ante los obsequios de NFT basados en Ethereum. El especialista consideró que lo mejor es que los usuarios accedan a este tipo de NFT gratuitos a través de plataformas como OpenSea.

Hasta que este problema se solucione en la aplicación móvil, use la plataforma OpenSea con cualquier billetera compatible con Web3 para explorar sus coleccionables. Un amable recordatorio para todos de que la privacidad fuera de la cadena es realmente importante, no la descuiden”, dijo.


Lecturas recomendadas


Artículo versionado de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash editada en Canva

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.