MetaMask授予点击劫持漏洞赏金

MetaMask已向全球白帽安全团队（UGWST）支付12万美元赏金，奖励其负责任地披露了一个关键安全漏洞。该漏洞由René Kroka和José Almeida发现，目前尚未发现被利用的案例，MetaMask团队已为用户修复该问题。该漏洞仅影响浏览器扩展程序，攻击者可将MetaMask扩展作为隐藏层覆盖在其他网站之上，诱使用户在不知情的情况下泄露私人数据或发送加密资产。

背景信息

iframe技术

MetaMask浏览器扩展有两种显示方式：点击图标时从浏览器栏弹出的小矩形窗口，或全屏视图。它不能也不应通过iframe显示。iframe是HTML的常用功能，允许在一个网页中嵌入另一个网站的内容。iframe技术本身并非恶意，也不构成安全威胁，但该技术可能被用于欺骗用户，其中一种方式就是点击劫持。

点击劫持攻击

该漏洞的核心技术在于隐藏MetaMask已打开的事实，使用户实际上在点击扩展界面。在这种场景中，用户被引导至某个网页（例如浏览器内视频游戏），页面加载后用户需要点击多个按钮来设置游戏并开始游玩。用户点击这些提示时并未意识到，视频游戏上方覆盖着透明度设置为零的MetaMask扩展iframe——他们实际上是在通过MetaMask提示将加密资产发送给恶意攻击者。

UGWST的发现

UGWST向MetaMask报告称，在某些特定情况下，他们可以让MetaMask扩展在iframe中运行。他们证明恶意攻击者可以利用MetaMask扩展提供的某些网络可访问资源来实现这一目的。

UGWST负责任地报告了该漏洞，MetaMask安全团队立即对扩展程序进行了修复，并已推送给所有用户。再次强调，目前未发现该漏洞被利用的案例。

为确保安全，请确保您的MetaMask扩展至少更新至10.14.6版本。如需手动更新帮助，请参阅此处。

Web3环境下的安全防护

MetaMask将用户安全视为重中之重，特别是在用户需要自行保管数据的生态系统中。MetaMask的目标是赋能用户，而随着这种权力和能力而来的是用户对自身安全应负的相应责任。

如果您是Web3领域的新手，请查看我们的知识库学习基本安全知识。无论您的经验水平如何，我们都建议启用全盘加密以保护数据。