MetaMask安全月报:2022年6月技术深度解析

本文详细介绍了MetaMask在2022年6月的安全进展,包括安全实验室的技术更新、漏洞赏金计划启动、事件响应指标分析,以及重要安全漏洞披露和API方法弃用通知。

安全实验室

Endo

支持"我的源文件在哪里"用例已完成!

我们最终合并了import.meta支持。还需要考虑tc39提案中对compartment规范所做的更改。随着提案可能重命名一些内容并删除importMetaHook,肯定需要进一步更改。

https://github.com/endojs/endo/pull/1141

import.meta最大的问题是,如果出现在导出语句中,它会被static-module-record中的babelPlugin忽略。这需要更改插件代码,以确保import.meta被访问和转换,即使位于已转换的导出定义内部。

借助import.meta支持,https://github.com/endojs/endo/pull/1202 可以将import.meta.url支持引入compartment-mapper的importLocation功能。在Archives中未提供此功能,因为在该上下文中很难为其定义有效行为。

同时,https://github.com/endojs/endo/pull/1144 在CJS实现中引入了require.resolve函数。默认情况下它会抛出错误,但可以提供替代实现作为ReadPowers的一部分。外部实现可以从Node的createRequire构造(最好有限制),或实现为已知必需值的查找,因为require.resolve的输入在现实中很少是动态的。

LavaMoat

对Yarn 3的allow-scripts支持需要向项目添加一个插件,以处理在受LavaMoat的allow-scripts保护的项目的新签出上运行yarn setup。

https://github.com/LavaMoat/LavaMoat/pull/345

policy-overrides.json中的新功能——可以使用false明确指定不应授予某个endowment。对此功能的支持包括正确将覆盖合并到主策略中,并使用显式false来避免从对象暴露过多字段。

https://github.com/LavaMoat/LavaMoat/pull/341

事件响应

HackerOne漏洞赏金计划

我们的HackerOne漏洞赏金计划终于上线了!寻找最优秀的研究人员来发现漏洞,登录他们在HackerOne的账户并提交报告。

在哪里? 访问hackerone.com/metamask。

范围内有哪些资产?

  • MetaMask扩展:可以在我们的网站或Chrome和Firefox的各自商店下载。扩展的源代码在GitHub上。
  • MetaMask移动应用程序:可以在App Store(iOS)或Google Play(Android)下载。应用程序的源代码在GitHub上。

赏金是多少? 下表根据严重程度映射奖励:

CIRT指标(HackerOne之前)

在事件响应中,我们可以区分三种来源:审计、内部和报告者。最后一种包括外部参与者告知的问题。我们首选的沟通渠道是我们(目前已弃用的)security@metamask.io邮箱。

在2022年上半年,我们关闭了38个工单。按来源分布,其中大部分来自报告者,其数量是审计和内部来源工单总和的两倍多。

关于工单的分配对象,我们发现大部分报告分配给扩展,其次是专注于安全的问题(即与任何主要MetaMask产品无关),然后是移动端。这3个类别占报告的90%以上。2个问题分别分配给产品(UI)和ConsenSys安全团队。

在这38个工单中,只有13个分配了CVSS分数。这些工单大部分为中等严重性(9个),有1个关键和3个低严重性报告。

关于平均修复时间(MTTR),按来源看,来自报告者的工单解决更快,每个问题的MTTR为28.53天。观察按来源的解决时间分布,注意到时间收敛到最小值,那些最大时间是异常值。这种趋势在按分配对象的MTTR分布中也可以察觉到。

2022年上半年MetaMask事件响应团队的整体平均修复时间(MTTR)为每个报告40.39天。

通信

方法弃用通知

MetaMask正在弃用其API中可用的两个方法:eth_decrypt和eth_getEncryptionPublicKey。

这些方法仍将存在于API中,并继续按当前方式运行:但是,MetaMask不再建议使用它们。

这些方法被弃用是因为它们不够安全。没有已知基于这些方法的漏洞或利用;但是,MetaMask不推荐使用它们。

更详细的信息可以在此处发布找到。

披露

点击劫持漏洞

MetaMask已向United Global Whitehat Security Team(UGWST)授予120,000美元的赏金,以表彰他们负责任地披露了一个关键安全漏洞,以及一些不太严重的报告。

此漏洞仅影响浏览器扩展,包括能够将MetaMask扩展作为隐藏层运行在另一个网站之上,允许攻击者诱骗用户泄露其私人数据或在未意识到的情况下发送加密资产。

所有细节在这里!

扩展磁盘加密问题

Halborn的安全研究人员披露了一种情况,在某种条件下,基于Web的钱包(如MetaMask)使用的秘密恢复短语可以从受感染计算机的磁盘中提取。

  • 您的硬盘未加密。
  • 您将秘密恢复短语导入到您不信任的人拥有的设备上的MetaMask扩展中,或者您的计算机被入侵。
  • 您在该导入过程中使用了"显示秘密恢复短语"复选框在屏幕上查看您的秘密恢复短语。(见图)

以下通知中概述的细节不影响MetaMask移动用户,并且仅影响一小部分MetaMask扩展用户以及其他浏览器/扩展钱包的用户。我们随后实施了这些问题的缓解措施,因此这些不应是MetaMask扩展版本10.11.3及更高版本用户的问题。

阅读安全通知。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次