知名以太坊钱包MetaMask竟然一直在把用户的以太坊钱包广播到他们访问的网站上,并且允许第三方查看用户的ETH地址,甚至会检测用户的浏览活动。
事实上,这件事源于有人在GitHub上发现了MetaMask代码可能存在问题,因为他们内置的“隐私模式”只能通过手工才能打开,而默认情况下则是关闭的。这意味着,用户如果不注意的话,他们发送的消息就会被直接广播到自己访问的网站上。
该问题很快引起了人们的关注,因为广告商或追踪器很可能已经通过MetaMask检测用户的以太坊地址,而用户的浏览活动也很可能会被窥探到。
发现该问题的GitHub匿名用户写道:“MetaMask牺牲了每个人的隐私,像亚马逊、谷歌、PayPal等网站可以将用户的区块链交易关联到信用卡付款,这样就可以识别出做这笔交易的人是谁,也可以识别出接收这笔交易的人是谁,匿名性彻底被破坏了。”
MetaMask是一款非常流行的浏览器扩展,允许用户在Web端访问去中心化应用程序。目前在谷歌Chrome浏览器上的安装量已经超过了100万次,还支持Brave,MozillaFirefox和Opera等其他浏览器。
据报道,外媒TNW测试了MetaMask的钱包默认设置,目前正在确认第三方追踪器是否能够检测到消息广播。如果真是如此的话,用户在浏览器上发送的消息就会被转发给广告商或其他追踪器,比如Google和Facebook上的“点赞”,还有Twitter上的“转发”等。
知名以太坊开发人员丹·芬利表示,有些DApp发送交易会请求以太坊地址,而且没有这些地址就无法完成交易,但现在,未启用隐私模式可能会对此类DApp产生影响。丹·芬利透露,目前尚不清楚为什么开发人员没有默认启用“隐私模式”,而是要求用户自己启动它。
现在,用户必须进入MetaMask的设置功能里,然后滑动打开“隐私模式”才能避免自己的ETH地址被广播。
原文链接:https://www.cryptoglobe.com/latest/2019/03/metamask-has-been-broadcasting-users-ethereum-addresses-to-visited-websites-by-default/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。