Nghiên cứu cảnh báo: 85 tiện ích mở rộng ví tiền điện tử phổ biến tiềm ẩn nguy cơ rò rỉ dữ liệu và theo dõi người dùng
Một nghiên cứu mới từ KU Leuven chỉ ra rằng nhiều tiện ích mở rộng ví tiền điện tử trên trình duyệt đang vô tình làm lộ địa chỉ ví, cho phép các bên thứ ba liên kết danh tính thực và theo dõi hành vi...
Một nhóm nghiên cứu từ nhóm bảo mật DistriNet thuộc Đại học KU Leuven vừa công bố kết quả phân tích 85 tiện ích mở rộng (extension) ví tiền điện tử phổ biến nhất trên Chrome Web Store. Kết quả cho thấy, thay vì bị tấn công bởi malware hay exploit, chính cách thiết kế mặc định của các ví này đang tạo ra những lỗ hổng nghiêm trọng về quyền riêng tư, cho phép kẻ xấu liên kết các địa chỉ ví và theo dõi người dùng trên nhiều trang web khác nhau.
Table Of Content
Liên kết các địa chỉ ví riêng biệt
Nhiều người dùng sử dụng nhiều địa chỉ ví khác nhau để tách biệt các hoạt động tài chính. Tuy nhiên, nghiên cứu phát hiện 17 ví (với khoảng 23 triệu lượt cài đặt) thường xuyên gửi yêu cầu đến các server bên ngoài để cập nhật số dư. Những yêu cầu này chứa địa chỉ ví dưới dạng văn bản thuần, cho phép chủ sở hữu server hoặc bất kỳ ai thu thập dữ liệu có thể liên kết các địa chỉ này lại với nhau, từ đó xây dựng hồ sơ người dùng.
Vấn đề về cơ chế đăng xuất
Nghiên cứu chỉ ra rằng việc ngắt kết nối ví khỏi một trang web thường không hiệu quả như người dùng mong đợi. Trong số 36 ví được phân tích kỹ lưỡng, nhiều ví vẫn duy trì quyền truy cập vào địa chỉ ví của người dùng ngay cả khi họ đã thực hiện thao tác ‘Disconnect’ hoặc ‘Logout’. Điều này biến địa chỉ ví thành một dạng ‘thẻ theo dõi’ (tracking tag) vĩnh viễn, không thể xóa bỏ bằng cách xóa cookie hay khởi động lại trình duyệt.
Nguy cơ bị ‘giải mã’ danh tính thực
Đây là rủi ro lớn nhất: các trình theo dõi (tracker) có thể lợi dụng các khung hình ẩn (invisible frames) trên các trang web để thu thập địa chỉ ví mà không cần sự tương tác của người dùng. Nếu một trang web đã có thông tin định danh như tên hoặc email, việc liên kết với địa chỉ ví sẽ biến một danh tính ẩn danh thành một cá nhân cụ thể, từ đó lộ ra toàn bộ lịch sử giao dịch và tài sản của họ.
Phản hồi từ các nhà phát triển
Khi các nhà nghiên cứu thông báo về những phát hiện này, phản ứng từ các đơn vị phát triển ví rất trái chiều. Một số ví như Coinbase Wallet, Coin98 và Hana Wallet đã tiến hành sửa lỗi. Tuy nhiên, nhiều tên tuổi lớn khác như MetaMask, Rabby hay OKX lại cho rằng đây là vấn đề thiết kế đã biết, không phải lỗi bảo mật (bug) hoặc cho rằng rủi ro là thấp và không có ý định thay đổi cơ chế hiện tại.
Để tự bảo vệ, người dùng được khuyến nghị thường xuyên kiểm tra và xóa các quyền truy cập trang web trong cài đặt ví, sử dụng các ví riêng biệt cho các mục đích khác nhau hoặc dùng profile trình duyệt riêng cho các hoạt động Web3.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.