Standardeinstellung der Metamask-Erweiterung sendet ETH-Adressen an besuchte Webseiten

Die führende Ethereum (ETH)-Browsererweiterung Metamask überträgt Berichten zufolge ETH-Adressen an alle Websites, die ein Benutzer mit Standardeinstellungen besucht. Dies geht aus einem GitHub Bericht hervor, der am 20. März eingereicht wurde.

Metamask ist eine Browsererweiterung des Brave-Browsers – kompatibel mit Mozilla Firefox, Google Chrome und Opera – mit der Benutzer mit Ethereum-basierten dezentralen Anwendungen (DApps) interagieren können. Gemäß dem zuvor genannten GitHub Berichts sendet Metamask die ETH-Adresse der Benutzer an alle in den Standardeinstellungen besuchten Websites. Der Post gibt an, dass die ETH-Adressen in Datenobjekten und nicht in Fensterobjekten angezeigt werden.

Dem Problembericht zufolge kann dies zur Identifizierung von Benutzern führen und verhindert, dass Metamask von datenschutzrelevanten DApps verwendet wird. Genauer gesagt nennt der Benutzer die kürzlich gehackten Porno-DApp-Spankchain und Health-DApps als Beispiele.

Darüber hinaus haben nicht nur die Administratoren der besuchten Websites Zugriff auf die Metamask-Adressen der Benutzer, sondern auch sogenannte Tracker wie Facebook-Like- oder Share-Schaltflächen, Twitter-Retweet-Schaltflächen und ähnliche Systeme, die den Browser mit einem Fingerabdruck versehen können. Auf GitHub stellte der Benutzer außerdem fest, dass er erwartet, dass "diese Nachricht den Wert der ETH langfristig erheblich verringern werden."

In seiner Antwort auf das GitHub-Problem argumentierte der Entwickler Dan Miller, dass die Aktivierung des privaten Modus das Problem löst. Der Benutzer, der den Bericht erstellt hat, kommentierte dies nicht. Daniel Finlay, Entwickler von ConsenSys-Software, gab zu, dass der Datenschutzmodus standardmäßig aktiviert werden muss und dass der Datenschutz der Erweiterung verbessert werden kann.

Schließlich reagierte Finlay auch auf die Behauptungen des Benutzers, dass die angeblich fehlenden Datenschutzfunktionen der Software bösartig sind:

„Wir lehnen definitiv alle Ihre Behauptungen ab, dass dies eine komische bösartige Handlung von unserer Seite ist. Das wäre der verrückteste Schritt, den wir je bei einem Open-Source-Krypto-Projekt machen könnten.“

Wie Cointelegraph im November vergangenen Jahres mitteilte, stellte Metamask in der Vergangenheit eine mobile Version seiner Software vor, die jedoch noch nicht veröffentlicht wurde. Eine Malware, die das Tool imitierte, erschien jedoch in Google Play und wurde im Februar aus dem Store entfernt.