Разработчик, сообщивший о сборе данных в Ledger Live, обнаружил не менее тревожные механизмы в браузерных расширениях MetaMask и Avalanche
Фото: Фото сгенерировано с помощью playground.com
MetaMask, популярный в мире криптокошелек, использует однопиксельный («1X1») iFrame для встраивания трекеров в свое браузерное расширение. Расширение, созданное на основе Ethereum и ConsenSys, содержит в своем коде фрейм для сбора данных ‘analytics_iFrame’.
Для контекста, iFrame — это старый трюк веб-маркетологов. В iFrame, отображаемом в виде одного, незаметно маленького пикселя, тайно размещали рекламный код, получая несметную прибыль за счет невидимых показов рекламы. Из-за многолетнего злоупотребления iFrame многие веб-браузеры и рекламные платформы полностью его запретили.
MetaMask по-прежнему использует невидимый iFrame, возможно, надеясь, что никому не придет в голову заглянуть в устаревшие куски его CSS-кода. Он обходит традиционные службы веб-безопасности, поскольку пользователь добровольно устанавливает расширение и подтверждает его разрешения.
Естественно, MetaMask требует от новых пользователей согласия с условиями использования. В них нечетко прописана ответственность за контент и сервисы третьих сторон без конкретного упоминания трекеров iFrame.
What I learned about hardware wallets the past few days:
They seem to be in the user data collection business. Selling hardware is just onboarding.
My view on hardware wallets has completely shifted.
In fact, my view on wallets in general has shifted
For example, Metamask… pic.twitter.com/MPKQLGjzo9
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 10, 2023
Еще одна операция по сбору данных: Avalanche
Тот же разработчик, который разоблачил сбор данных в Metamask и Ledger Live, также обнаружил веб-расширения в другом криптовалютном кошельке: Avalanche.
Avalanche добавил аналитический код в свое расширение Core App Chrome. Раньше Avalanche использовал открытый исходный код. Однако в какой-то момент компания изменила лицензию. Аналитическая часть расширения Avalanche не имеет открытого исходного кода.
Сбор данных включает в себя данные о транзакциях, кликах и других действиях пользователей при использовании браузерного расширения кошелька Avalanche и его токена AVAX.
Разумеется, REKTbuildr задался вопросом, зачем этим веб-расширениям, которые также служат криптокошельками для миллионов людей, вообще нужно использовать трекеры аналитики.
Как и в случае Ledger Live, REKTbuildr предполагает, что Avalanche позволяет передавать анонимизированные данные аудитории внутренним командам UI/UX или сторонним рекламодателям.
Вам может быть это интересно:
- 5 главных мифов о кибербезопасности
- Как развивается финтех UX/UI веб-дизайн: чего ожидать в будущем
- Google добавляет опции BNPL в мобильный кошелек
