Configurações padrão da extensão do navegador Metamask transmite endereços ETH para sites visitados

A Metamask, a principal extensão do navegador Ethereum (ETH), transmite os endereços ETH para todos os sites que um usuário visita em suas configurações padrão, uma questão do GitHub enviada em 20 de março.

O Metamask é uma extensão do navegador incluída no navegador Brave - compatível com o Mozilla Firefox, Google Chrome e Opera - que permite aos usuários interagir com aplicativos descentralizados baseados em Ethereum (DApps). De acordo com a questão do GitHub, o Metamask transmite o endereço ETH de seus usuários para todos os sites visitados em suas configurações padrão, com a postagem especificando que os endereços ETH são mostrados em objetos de dados contidos em transmissões de mensagens em oposição a objetos de janelas.

De acordo com o relatório da questão, isso pode levar à identificação de usuários e impede o uso do Metamask por DApps sensíveis à privacidade. Mais precisamente, o usuário cita o DApp Spankchain de pornografia recentemente hackeado, e os DApps de saúde como exemplos.

Além disso, não apenas os administradores dos sites visitados têm acesso aos endereços Metamask dos usuários, mas também aos chamados rastreadores, como o Facebook, ou compartilham botões, botões de retweet do Twitter e sistemas semelhantes que podem identificar o navegador. O usuário também observou no GitHub que espera que “essas transmissões de mensagens diminuam significativamente o valor do ETH no longo prazo”.

Em sua resposta à questão do GitHub, o desenvolvedor Dan Miller argumentou que ativar o modo privado resolve o problema, para o qual o usuário que criou o relatório responde que não. O desenvolvedor de software ConsenSys, Daniel Finlay, admitiu que eles concordam que é necessário ativar o modo de privacidade por padrão, e que a privacidade da extensão pode ser melhorada.

Por fim, Finlay também respondeu às alegações do usuário de que os recursos de privacidade supostamente carentes do software são mal-intencionados:

“Nós definitivamente rejeitamos todas as suas alegações de que isso é algum ato mal-intencionado estranho da nossa parte. Essa seria a jogada mais louca que poderíamos fazer em um projeto de criptomoedas totalmente de código aberto”.

Como a Cointelegraph informou em novembro do ano passado, a Metamask apresentou uma versão móvel de seu software no passado, mas ainda não foi lançada. No entanto, um malware representando a ferramenta apareceu no Google Play e foi removido da loja em fevereiro.