Розробник, який повідомив про збір даних у Ledger Live, виявив не менш тривожні механізми в браузерних розширеннях MetaMask і Avalanche
Фото згенеровано за допомогою playground.com
MetaMask, популярний у світі криптогаманець, використовує однопіксельний (“1X1”) iFrame для вбудовування трекерів у своє браузерне розширення. Розширення, створене на основі Ethereum і ConsenSys, містить у своєму коді фрейм для збору даних ‘analytics_iFrame’.
Для контексту, iFrame – це старий трюк вебмаркетологів. В iFrame, що відображається у вигляді одного, непомітно маленького пікселя, таємно розміщували рекламний код, отримуючи незліченний прибуток коштом невидимих показів реклами. Через багаторічне зловживання iFrame багато веббраузерів і рекламних платформ повністю його заборонили.
MetaMask, як і раніше, використовує невидимий iFrame, можливо, сподіваючись, що нікому не спаде на думку зазирнути в застарілі шматки його CSS-коду. Він обходить традиційні служби веббезпеки, оскільки користувач добровільно встановлює розширення і підтверджує його дозволи.
Природно, MetaMask вимагає від нових користувачів згоди з умовами використання. У них нечітко прописана відповідальність за контент і сервіси третіх сторін без конкретної згадки трекерів iFrame.
What I learned about hardware wallets the past few days:
They seem to be in the user data collection business. Selling hardware is just onboarding.
My view on hardware wallets has completely shifted.
In fact, my view on wallets in general has shifted
For example, Metamask… pic.twitter.com/MPKQLGjzo9
— REKTBuildr 🔺🔺🔺 (@rektbuildr) December 10, 2023
Ще одна операція зі збору даних: Avalanche
Той самий розробник, який викрив збір даних у Metamask і Ledger Live, також виявив веброзширення в іншому криптовалютному гаманці: Avalanche.
Avalanche додав аналітичний код у своє розширення Core App Chrome. Раніше Avalanche використовував відкритий вихідний код. Однак у якийсь момент компанія змінила ліцензію. Аналітична частина розширення Avalanche не має відкритого вихідного коду.
Збір даних охоплює дані про транзакції, кліки та інші дії користувачів під час використання браузерного розширення гаманця Avalanche і його токена AVAX.
Зрозуміло, REKTbuildr поставив собі питання, навіщо цим веброзширенням, які також служать криптогаманцями для мільйонів людей, взагалі потрібно використовувати трекери аналітики.
Як і у випадку Ledger Live, REKTbuildr припускає, що Avalanche дає змогу передавати анонімізовані дані аудиторії внутрішнім командам UI/UX або стороннім рекламодавцям.
Вам може бути це цікаво:
- 5 головних міфів про кібербезпеку
- Як розвивається фінтех UX/UI вебдизайн: чого очікувати в майбутньому
- Google додає опції BNPL до мобільного гаманця
