摘要:实际上,不只是EOS平台,根据360信息安全部的研究,目前市面上20多款数字货币钱包APP同样存在或多或少的安全问题。图3:安卓系统漏洞让钱包APP的运行环境变得不安全360加固保基于设备终端检测技术全方位监测,可以判断设备是否Root、安装Xposed框架、安装双开软件、是否是虚拟机,并利用动静结合的双擎检测技术,结合大数据深度挖掘能力,第一时间发现新型恶意应用并及时预警拦截,确保设备终端的应用...
5月29日,360企业Vulcan(伏尔甘)团队披露了新区块链平台EOS的一系列高风险安全漏洞。经验证,部分漏洞可以在EOS节点上远程执行任何代码,即通过范围攻击直接控制和接管EOS上运行的所有节点,引起了区块链和整个安全行业的高度关注。事实上,不仅仅是EOS平台。根据360信息安全部的研究,市场上20多款数字货币钱包APP也存在一些安全问题。
为了更准确地了解钱夹APP的安全现状,360信息安全部对应用市场上流通的热钱包和冷钱包进行了相关的安全审查和评估,并发布了关于数字货币钱包APP安全威胁概况的研究报告。针对六大常见问题,360加固保障可提供核心代码加固、避免录屏、终端检查、通信协议加密、数据文件保护等解决方案,全面保护APP安全。
图1:钱夹APP安全隐患Top5
数字货币钱包安全威胁之一:主要功能代码未加强
Android应用在不加固的情况下很容易被反编译成类似源代码的效果。因此,在不加固的情况下,数字货币钱包很容易被重新包装。重新包装的效果与伪造漏洞相同,会给用户造成直接损失。同时,重要信息的泄露也将使黑客更容易分析代码逻辑,并使用相关算法提取助记词,逆向分析加解密过程,并使用其他漏洞窃取助记词和其他信息。
图2:在不加固的情况下,数字货币钱包很容易被重新包装
360加固保护是为移动应用程序安全提供专业保护的平台,为开发人员的应用程序提供免费的安全加固服务,创建多种保护方法,对应用程序进行深加密;独特的程序文本数据加密功能,可有效防止应用程序被反编译和恶意篡改,保护应用程序不被二次包装,保护数据信息不被黑客窃取。开发人员可以在5分钟内完成应用加固,无需任何开发成本,然后完全避免反编译、调整、破解、二次包装和内存截取的威胁。对官方应用给予最强的保护,从源头上消除恶意盗版应用,保护开发者的收入。
数字货币钱包安全威胁二:钱夹APP运行环境不安全
数字货币钱包APP的安全关键之一是运行环境。Android是一个非常庞大和复杂的系统。360安全团队发现,近四分之三的APP在实际分析测试中没有对相关环境进行测试,无法保证用户操作APP的环境安全,最终可能导致用户资金流失。
图3:Android系统漏洞使钱夹APP的运行环境不安全
360加固保护基于设备终端检测技术的全方位监测,可判断设备是否Root、安装Xposed框架,安装双开放软件,是否为虚拟机,采用动静结合的双引擎检测技术,结合大数据深度挖掘能力,立即发现新的恶意应用,及时预警阻塞,确保设备终端的应用处于安全状态。
数字货币钱包安全威胁三:助记词、交易密码泄露
比特派出了BTC官方推荐的第三方团队比太开发的钱包应用,目前正在谷歌中 Play上的设置量达到1万万 。360信息安全部在非投资环境中进行屏幕记录检测,发现助记词在生成阶段无法记录屏幕,但在导入钱夹时,可以记录界面,导致助记词泄露,导致数字货币账户被盗。同时,输入支付密码时也存在可录屏漏洞,可通过观察按钮按顺序推出支付密码。
图4:录制屏幕可能导致交易密码泄露
这个问题可以通过360强化屏幕记录SDK来处理。该功能通过增强应用程序的安全特性来阻止屏幕信息在应用程序运行过程中被拦截,从而获得用户信息,大大保证了用户信息。
数字货币钱包安全威胁四:钱夹APP伪造漏洞
钱夹APP被黑客反向放入恶意程序,传递助记词、修改交易收款人地址等敏感信息,可能导致客户资金损失。同时,如果APP本身没有严格验证软件的完整性,类似的事件也会发生,2017年底出现的Janus签名漏洞可以直接应用于这个场景。
图5:钱夹APP被黑客反向放入恶意程序,可能导致客户金钱损失
许多开发人员可以使用钢筋保护提供的安全扫描功能来检查是否存在janus漏洞和其他安全问题。一键上传APK,即可获得专业的安全风险报告或直接上传钢筋。当钢筋应用程序遇到这个漏洞时,它将直接崩溃。
数字货币钱包安全威胁五:网络数据交互被劫持篡改
当客户通过数字货币钱包进行交易时,不仅要注意数据加密,还要注意助记词、私钥等数据是否传输回服务器。当存储助记词服务器被黑客攻击时,账户很可能被盗。
360加固保护通信协议加密SDK,可以通过对开发人员提交的https通信证书进行验证和锁定,屏蔽各种第三方中间人注入工具(如fiddler)、burp等。),避免了htps通信数据的拦截、窃听和修改,极大地保证了https通信中的协议安全。
数字货币钱包安全威胁六:钱包敏感信息存储不正确
在数字货币世界中,最重要的是私钥,所以对于用户来说,数字货币钱包最重要的是助记词。有了助记词,我们可以推导出私钥。因此,如果数字货币钱包以错误的方式将助记词或私钥存储在当地,攻击者可以在Root设备中解码钱夹文件,获取用户的助记词、钱夹私钥等钱夹数据。
图6:钱夹备份数据存储错误,风险高
360加固保护可以对应用程序操作中产生的数据文档进行加密保护,并将重要的加密信息存储在Native层保护套中,以避免数据文件被盗和篡改。
目前市场上有大量参差不齐的数字货币钱包,但在业务优先的原则下,很多开发团队暂时没有充分保护自己钱包产品的安全性。如果出现安全问题,会导致大量用户账户货币被盗,由于数字货币实现的特殊性,被盗资产难以追回。
就像EOS公布的“价值100亿美元”漏洞一样,一旦被感兴趣的人使用,后果将是不可想象的,财产损失将是不可估量的。因此,制造商在开发应用程序时,需要有安全加固的概念,及时使用360加固和其他工具。
毕竟,未雨绸缪总比以后补救好(作者:佳琪)
---------------------------------------------------------
1.本文从互联网上引用,旨在传递更多的网络信息,只代表作者自己的观点,与本网站无关。
2.本文仅供读者参考,本网站未确认内容,不保证其原创性、真实性、完整性和及时性。
