Das Krypto-Sicherheitsunternehmen CertiK hat kürzlich eine Schwachstelle im Worldcoin-Protokoll aufgedeckt, die es einem Angreifer ermöglichte, den Verifizierungsprozess zu umgehen, um ein Orb-Operator zu werden.
Laut CertiK hätte diese Schwachstelle es jedem ermöglicht, die Verifizierungsanforderungen zu umgehen, um ein Worldcoin Orb-Betreiber zu werden. Die Person wäre beispielsweise nicht verpflichtet, ein legitimes Unternehmen zu sein, sich einer ordnungsgemäßen Identitätsüberprüfung zu unterziehen oder ein Überprüfungsgespräch zu bestehen.
„Im Normalfall können nur legitime Unternehmen, die den strengen Identitätsüberprüfungsprozess von Worldcoin bestehen, eine Orb-Operation durchführen, bei der die Iris-Informationen der Benutzer erfasst werden“, heißt es in dem Thread von CertiK.
Das Sicherheitsunternehmen gab an, dass es Worldcoin das Problem durch ein Standard-Whitehat-Offenlegungsverfahren“ meldete, woraufhin das Sicherheitsteam des Projekts die Schwachstelle bestätigte und umgehend einen Fix herausgab“.
1/ Am 29. Mai meldete CertiK dem Sicherheitsteam von WorldCoin eine Sicherheitslücke, die es einem Angreifer ermöglichen könnte, unter Umgehung des Verifizierungsprozesses Orb-Operator zu werden.
– CertiK (@CertiK) August 3, 2023
CertiK wiederum hat Berichten zufolge überprüft und bestätigt, dass das Update die Bedrohung entschärft. Das Sicherheitsunternehmen fügte hinzu, dass es die Details der Entdeckung und die Art und Weise, wie die Schwachstelle entschärft wurde, „zu einem späteren Zeitpunkt“ veröffentlichen wird.
„Am 29. Mai meldete das Sicherheitsteam von CertiK Worldcoin einen Fehler, der es einem Angreifer ermöglichen könnte, ein inaktives Operator-Konto zu erstellen“, so ein Sprecher von Worldcoin gegenüber TCN. „Der Fehler erlaubte es niemandem, die manuelle Überprüfung zur Einrichtung eines Operator-Kontos zu umgehen, und zu keinem Zeitpunkt wurde durch den Fehler der Zugriff auf Orbs oder Daten ermöglicht. Das Worldcoin-Sicherheitsteam hat das Problem innerhalb von 24 Stunden nach Erhalt der Informationen von CertiK bestätigt und behoben und bestätigt, dass es nicht missbraucht wurde.“
Es ist erwähnenswert, dass die Enthüllung von CertiK nur eine Woche nach der Veröffentlichung eines Berichts über Sicherheitsprüfungen des Worldcoin-Protokolls durch die Wirtschaftsprüfungsgesellschaften Nethermind und Least Authority erfolgte.
Diese Audits deckten eine große Anzahl von Bereichen ab, einschließlich Schwachstellen im Code, die zu gegnerischen Aktionen und anderen Angriffen führen, sowie den Schutz vor bösartigen Angriffen und anderen Methoden der Ausnutzung.
Bei der Sicherheitsbewertung von Nethermind wurden 26 Schwachstellen festgestellt, von denen 24 nach der Überprüfungsphase behoben wurden, während eine Schwachstelle entschärft und die verbleibende Schwachstelle eingeräumt wurde.
Least Authority identifizierte drei Probleme im Protokoll und machte sechs Vorschläge, die alle entweder behoben wurden oder für die eine Lösung geplant ist, so Worldcoin.
Bedenken um Worldcoin
Worldcoin ist ein Krypto-Projekt, das im Sommer dieses Jahres gestartet wurde und darauf abzielt, ein neuartiges globales Identitäts- und Finanznetzwerk zu schaffen, das auf Iris-Scans basiert.
Das Unternehmen behauptet, dass diese World IDs von entscheidender Bedeutung sein werden, wenn die künstliche Intelligenz an Einfluss gewinnt und es den Menschen ermöglicht, zu beweisen, dass sie keine Roboter sind.
Um an diesem Netzwerk teilzunehmen, müssen Personen ihre Iris mit einem als Orb bezeichneten Gerät scannen lassen. Als Anreiz werden die Nutzer mit dem projekteigenen WLD-Token im Austausch für ihren Iris-Scan belohnt.
Das Projekt hat mehrere Bedenken hinsichtlich des Datenschutzes und der Sicherheit ausgelöst. Kritiker, darunter der berühmte Whistleblower Edward Snowden und Ethereum-Mitbegründer Vitalik Buterin, argumentieren, dass Worldcoin eine übermäßige Menge an persönlichen Daten sammeln könnte, die möglicherweise für böswillige Zwecke missbraucht werden könnten.
Es gibt auch Befürchtungen hinsichtlich der Sicherheit der Iris – wie Buterin in seinem kürzlich erschienenen Blogpost betonte, handelt es sich bei Orbs um Hardware-Geräte, bei denen Hintertüren in das System eingebaut werden könnten, die es böswilligen Herstellern ermöglichen, mehrere gefälschte menschliche Identitäten zu erstellen.
Die MIT Technology Review hat Worldcoin außerdem vorgeworfen, betrügerische Marketingpraktiken anzuwenden und eine größere Menge an persönlichen Daten zu sammeln als ursprünglich bekannt gegeben.
Als Reaktion auf diese Bedenken hat Worldcoin sein Engagement für den Schutz der Privatsphäre der Nutzer bekräftigt.
Auf der Website des Unternehmens heißt es, dass das Projekt „in vollem Umfang mit allen Gesetzen und Vorschriften über die Erhebung biometrischer Daten und die Datenübertragung, einschließlich der europäischen Datenschutzgrundverordnung (GDPR), übereinstimmt“.
Das Unternehmen fügte hinzu, dass „die Worldcoin Foundation und ihr Beitragszahler Tools for Humanity niemals persönliche Daten verkauft haben und auch niemals verkaufen werden.“
