Orosz rulett a böngészős kriptotárcák használata

Cikk meghallgatása

00:00 00:00

A Web3 és a decentralizált pénzügyek forradalma azt ígérte, hogy mindannyian a saját bankunkká válhatunk, de a valóságban inkább egy olyan lakásban élünk, aminek az ajtaja papírból van, a kulcsot pedig a lábtörlő alatt tartjuk. A kényelem iránti megszállott vágyunk szülte meg a böngészőbe építhető kriptotárca-bővítményeket, amelyek mára a digitális ökoszisztéma leggyengébb láncszemeivé váltak. Egy friss, megdöbbentő biztonsági kutatás, amely nyolcvanöt különböző kriptotárca-bővítményt vett górcső alá, egy borzalmas, rendszerszintű hanyagságra világított rá. Az eredmények nem egyszerűen aggasztóak, hanem egyenesen ijesztőek, és világossá teszik, hogy a digitális vagyonunk védelmét olyan szoftverekre bíztuk, amelyek az alapvető biztonsági vizsgákon is azonnal elbuknának.

Több millió ember pénze van veszélyben

Hiába használ valaki tudatosan több különböző tárcacímet a pénzügyei elkülönítésére. A vizsgált tárcák közül ugyanis 17 – amelyek együttesen mintegy 23 millió telepítésért felelősek – a háttérben közvetlenül összeköti és kiszolgáltatja a külső szervereknek ezeket a különálló címeket: 13 tárca egyetlen lekérdezésbe csomagolva küldi el őket, míg további 4 alig néhány ezredmásodperces eltéréssel indított külön kérésekkel buktatja le a tulajdonosát, tálcán kínálva a lehetőséget a teljes körű profilalkotásra. Ezt a kiszolgáltatottságot tetézi a biztonságos kijelentkezés teljes illúziója. A vizsgált 85-ből 36 tárca (a letöltések 82%-a) már azzal egyedi digitális ujjlenyomatot ad a weboldalak kezébe, hogy egyszerűen jelen van a böngészőben. Amikor pedig lecsatlakoznánk egy Web3-as oldalról, a védelem puszta színjátékká válik: a népszerű alkalmazások többsége el sem küldi a tényleges visszavonási parancsot a leiratkozáskor, de ha meg is teszi, a problémás tárcák közül 22 egyszerűen figyelmen kívül hagyja azt, így a weboldalak a sütik törlése és a böngésző újraindítása után is akadálytalanul leolvashatják a tárcacímünket.

A sebezhetőséggel érintett tárcák listája Forrás: Hackernews

A legnagyobb probléma nem az, hogy a hackerek túl okosak, hanem az, hogy a tárcák fejlesztői elképesztően hanyagok. A vizsgált bővítmények jelentős része megdöbbentő módon kezeli a legfontosabb információkat, például a privát kulcsokat és a helyreállító kulcsszavakat. Ahelyett, hogy ezeket a kritikus adatokat a legszigorúbb titkosítással és izolációval védenék, sok tárca egyszerűen titkosítatlanul, sima szöveges formátumban tárolja őket a böngésző memóriájában vagy a helyi tárhelyen. Ez a gyakorlatban azt jelenti, hogy ha egy kártékony szoftver vagy egy másik, rosszindulatú böngészőbővítmény hozzáfér a gépünkhöz, szinte tálcán kínáljuk neki a belépést a teljes pénzügyi életünkbe. A biztonság illúziója mögött valójában egy nyitott könyv rejlik, amit bárki elolvashat, aki minimális szinten ért a kódoláshoz.

Ráadásul a böngészők architektúrája eleve nem arra lett kitalálva, hogy banki szintű tranzakciókat és milliós vagyonokat kezeljen. A weboldalak és a bővítmények közötti kommunikációs csatornák sokszor olyanok, mint a lyukas szűrők. Ez a lesújtó helyzet jól mutatja, hogy a kriptovilágban a technológia gyorsasága messze megelőzte a biztonság fejlődését. Miközben a marketingesek a teljes szabadságot hirdetik, a háttérben futó kódok olyan alapvető sebezhetőségektől hemzsegnek, amelyeket már egy évtizeddel ezelőtt is amatőr hibának tartott a kiberbiztonsági szakma. Amíg a fejlesztők nem veszik komolyan a szigorú izolációt, a memóriavédelmet és a biztonságos kommunikációs protokollokat, addig minden egyes böngészőbe telepített tárca egy ketyegő bomba marad. Addig pedig a felhasználóknak meg kell tanulniuk a legfontosabb leckét: a valódi biztonságot nem a kényelmes böngészőbővítmények, hanem a fizikai hardvertárcák jelentik, mert a böngészőben tartott pénz valójában már nem a miénk – csak a hackerek még nem csaptak le rá.

Jelen írás nem minősül befektetési tanácsadásnak. Részletes jogi információ

Költs kriptóból közvetlenül a Kraken Krak Mastercarddal!

MI A TEENDŐD?
  1. Regisztrálj a Krakenre a linkünkkel.
  2. Igényeld meg ingyenesen a Krak Cardot.
  3. Add hozzá Apple Payhez vagy Google Payhez.
  4. Vásárolj közvetlenül Kraken egyenlegedről akár 400+ kripto- és fiat eszközzel.
  5. Élvezd a 2% cashback-et a vásárlások után, havi vagy éves kártyadíj nélkül!
Készen állsz a mindennapi kriptós fizetésre?

Krak Card igénylése

Értékelés

logo