5月29日,360公司Vulcan(伏尔甘)团队披露了新型区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点,引起了区块链和整个安全行业的高度重视。实际上,不只是EOS平台,根据360信息安全部的研究,目前市面上20多款数字货币钱包APP同样存在或多或少的安全问题。
为更准确地了解钱包APP的安全现状,360信息安全部对应用市场上流通的热钱包以及冷钱包进行了相关安全审核评估,并发布了关于数字货币钱包APP安全威胁概况的研究报告,针对常见的6大问题,360加固保可以提供包括核心代码加固、防止录屏、终端检测、通信协议加密和数据文件保护等解决方案,全方位保护APP安全。
图1:钱包APP安全风险Top5
数字货币钱包安全威胁之一:核心功能代码未加固
安卓应用在未使用加固的情况下十分容易被反编译出近似源码的效果,所以在不加固的情况下,数字货币钱包十分容易被重打包,重打包的效果和伪造漏洞一样,会给用户造成直接损失。同时,关键信息的泄露也会让黑客更加容易分析代码逻辑,将于助记词使用相关的算法进行提取,逆向分析出加解密流程,利用其它漏洞进行盗取助记词等信息。
图2:在不加固的情况下,数字货币钱包十分容易被重打包
360加固保是为移动应用安全提供专业保护的平台,专为开发者的应用提供免费安全加固服务,独创多重防护方式,对应用程序深度加密处理;独有的程序文字信息加密功能,能有效防止应用被反编译和恶意篡改,保护应用不被二次打包,保护数据信息不会被黑客窃取。开发者无需任何开发成本,一键上传,即可在5分钟内完成应用加固,从而彻底防止应用在上线后被反编译、调试、破解、二次打包和内存截取等多种威胁。给予官方应用最强保护,从源头消灭恶意盗版应用,保护开发者收入。
数字货币钱包安全威胁之二:钱包APP运行环境不安全
数字货币钱包APP的一个安全重点就是运行环境,安卓是一个非常庞大而且复杂的系统,360安全团队在实际进行分析测试的时候发现将近四分之三的APP都未对相关环境做过检测,无法保证用户运行APP的环境安全,最终可能导致用户钱财受到损失。
图3:安卓系统漏洞让钱包APP的运行环境变得不安全
360加固保基于设备终端检测技术全方位监测,可以判断设备是否Root、安装Xposed框架、安装双开软件、是否是虚拟机,并利用动静结合的双擎检测技术,结合大数据深度挖掘能力,第一时间发现新型恶意应用并及时预警拦截,确保设备终端的应用处于安全状态。
数字货币钱包安全威胁之三:助记词、交易密码泄露
比特派为比特币官方推荐的一支第三方团队比太开发的钱包应用,目前在Google Play上安装量达到10000+。360信息安全部在非Root环境下,对其进行录屏测试,发现在助记词生成阶段无法录屏,但在导入钱包时,可以录下界面,此处可以导致助记词泄露从而造成数字货币账户被盗。同时,在输入交易密码时同样存在可录屏漏洞,通过观察按键按下顺序即可推出交易密码。
图4:录屏可能导致交易密码泄露
这一问题可由360加固保防录屏SDK解决,该功能通过增强应用安全属性阻止截取应用运行时的屏幕信息,以此获得用户信息的行为,使用户的信息得到了极大的保证。
数字货币钱包安全威胁之四:钱包APP伪造漏洞
钱包APP被黑客逆向后加入恶意代码,回传敏感信息如助记词,修改交易收款方地址等,可能造成用户钱财损失。同时APP本身如果对软件完整性未做严格的校验,同样可以导致类似事件发生,在2017年底出现的Janus签名漏洞可以直接应用在此场景下。
图5:钱包APP被黑客逆向后加入恶意代码可能造成用户钱财损失
广大开发者可使用加固保提供的安全扫描功能,检测是否存在janus漏洞及其他安全问题,一键上传APK,即可获得专业的安全风险报告,还可以直接上传进行加固,当加固后的APP遭遇此漏洞问题,会直接崩溃。
数字货币钱包安全威胁之五:网络数据交互被劫持篡改
当用户通过数字货币钱包进行交易,衡量网络连接安全不仅仅需要注意其是否对数据进行加密,还要注意是否将助记词,私钥等数据传输回服务器,当存储助记词的服务器被黑客入侵,极有可能导致账户被盗。
360加固保的通信协议加密SDK,可以通过对开发者预提交的https通信证书,进行校验和锁定,屏蔽各种第三方中间人注入工具(例如fiddler、burp等),防止https通信数据被拦截、窃听和修改,极大的保护了https通信中的协议安全。
数字货币钱包安全威胁之六:钱包敏感信息不正确存储
在数字货币世界中,最关键的就是私钥,那么对于用户,数字货币钱包最关键的就是助记词,有了助记词我们可以推导出私钥。所以,如果数字货币钱包对助记词或者私钥使用错误的方式保存在了本地,在Root设备上攻击者可以对该钱包文件进行解码并获取用户的助记词,钱包私钥等钱包数据。
图6:钱包备份数据被错误存储风险大
360加固保可以对应用运行中的产生的数据文件进行加密保护,将加密关键信息保存在Native 层保护壳中,防止数据文件被窃取和篡改。
现阶段,市面上有大量良莠不齐的数字货币钱包存在,而不少开发团队在以业务优先的原则下,暂时对自身钱包产品的安全性并未做到足够的防护。如果出现安全性问题,便会导致大量用户出现账户货币被盗,而由于数字货币实现的特殊性,被盗资产非常难以追回。
正如EOS被批露的“价值百亿美金”的漏洞那样,一旦被有心人利用,后果将不堪设想,经济损失难以估量。所以厂商在开发APP时,需有安全加固的意识,及时使用360加固保等工具。
毕竟,未雨绸缪总要好过事后补救。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。