Entwickler offenbart Privatsphäre-Probleme bei Ethereum

0
1540
Ethereum-Entwickler findet Schwachstelle im Netzwerk. | © Depositphotos

Der Ethereum-Entwickler Péter Szilágyi hat auf Sicherheitslücken der größten und bekanntesten Blockchain-Plattform aufmerksam gemacht. Auf verschiedenen Wegen lasse sich der Standort eines Nutzers zurückverfolgen. Szilágyi gibt Ratschläge, was Nutzer dagegen tun können, sieht aber vor allem Entwickler in der Pflicht, die Probleme zu beheben.

Eines der großen Versprechen der Blockchain besteht darin, den Menschen die Kontrolle über ihre eigenen Daten zurückzugeben. Um so ärgerlicher ist es da, wenn sich Standortinformationen von Ethereum-Nutzern offenbar mit Leichtigkeit abrufen lassen. Entwickler Péter Szilágyi offenbarte diese Missstände auf der Devcon4-Konferenz in Prag und erklärte, was sich dagegen tun lässt. Darüber berichtete die Krypto-Nachrichtenseite Coindesk am Donnerstag.

Szilágyi hatte als Nebenprojekt eine Alternative zu Facebook auf Ethereum-Basis entwickeln wollen. Diese sollte dezentralisiert sein und die Privatsphäre schützen. Dabei fielen ihm allerdings zahlreiche Schwachstellen auf, die eine anonyme Kommunikation unter den Nutzern erschweren würden.

Schwachstelle dApps

In seinem Vortrag „Die Metadatenlecks im Ethereum-Ökosystem stopfen“ geht Szilágyi zuerst auf die Mängel bei dezentralen Applikationen (dApps) ein. Exemplarisch betrachtet er hierzu den Blockexplorer Etherscan, über den sich alle Transaktionen auf der Ethereum-Blockchain nachverfolgen lassen.

Unglücklicherweise ließe sich beim Zugriff auf die Seite eine Verbindung zwischen der Ethereum- und der IP-Adresse des Nutzers herstellen. Über die IP wiederum ließen sich die Standortdaten des entsprechenden Computers ermitteln.

Verschlimmert werde die Situation noch dadurch, dass Etherscan die Daten mit zahlreichen weiteren Akteuren teile. Einer davon ist Google Analytics, ein anderer der Kommentar-Dienstleister Disqus. Letzterer wiederum leite die Informationen an zusätzliche Seiten wie Twitter, Facebook und Google Plus weiter.

Etherscan sei sich des Problems bewusst und wolle bald die Zusammenarbeit mit Google Analytics einstellen. Außerdem arbeite die Seite daran, ein internes Werbenetzwerk aufzubauen, um nicht mehr auf außenstehenden Firmen angewiesen zu sein. Allerdings könne man solche Bemühungen nicht von allen dApps erwarten.

Nutzer könnten sich schützen, indem sie beispielsweise über das Tor-Netzwerk ihre IP-Adresse verbergen oder mit Hilfe des Brave Browsers Online-Tracker blockieren.

Problematische Light Clients

Damit sei es allerdings noch nicht getan, denn auch die Nutzung von Light Clients offenbare den Standort des Nutzers. Durch diese kann man Zugang zum Ethereum-Netzwerk erlangen, ohne den Speicherplatz und das Datenvolumen für eine Full Node aufwenden zu müssen.

Der Nachteil bestünde allerdings darin, dass man sich über das sogenannte Discovery Protocol immer wieder neu mit dem Netzwerk verbinden und dabei seine IP-Nummer offenbaren müsste. Da die Informationen öffentlich seien, könne diese praktisch jedermann abrufen und so eine sehr genaue Karte mit den Aufenthaltsorten der Ethereum-Nutzer erstellen.

Deswegen rät Szilágyi zur Nutzung einer Full Node: „Full Nodes sind der mächtigste Anonymisierer in Krypto, denn sie lassen jeden gleich aussehen und gleich handeln. Jede Abkürzung ist ein Tausch von Privatsphäre gegen Bequemlichkeit”, so die Präsentation zu seinem Devcon4-Vortrag.

Vor allem Entwickler sind in der Pflicht

Die Hauptverantwortung für die Datenlecks läge allerdings nicht bei den Nutzern, sondern bei den Entwicklern. Viele richteten den Fokus nicht auf derartige grundlegende Probleme. „Die meisten Leute in Blockchain und Ethereum wollen oben drauf bauen, während ein Team am Boden die Drecksarbeit macht”, klagte Szilágyi gegenüber Coindesk.

Es sei zwar schwierig, diese tiefsitzenden Mängel zu beheben, ohne auf Ethereum laufende Applikationen zu beeinträchtigen. Andererseits sei die Aufgabe auch nicht unmöglich und man könne auf 20 Jahre Forschung zurückgreifen.

Wenn nicht frühzeitig Privatsphäre-Funktionen eingebaut würden, könne sich Ethereum ähnlich wie Facebook in eine bedenkliche Richtung entwickeln. „Wir wollen das nicht nur in Ordnung bringen, um Nutzer vor externen Angriffen zu schützen – Ich denke es ist sehr wichtig zu betonen, dass wir die Nutzer auch vor uns [Entwicklern] schützen wollen“, so Szilágyis abschließende Worte.

Waren dir diese Sicherheitslücken bei Ethereum bekannt? Wirst du nun dein Nutzerverhalten ändern? Schreib uns deine Gedanken dazu in die Kommentarspalte!

Hinterlasse einen Kommentar

Please enter your comment!
Please enter your name here