不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

5月29日,360公司Vulcan(伏爾甘)團(tuán)隊(duì)披露了新型區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證,其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼,即可以通過(guò)遠(yuǎn)程攻擊,直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn),引起了區(qū)塊鏈和整個(gè)安全行業(yè)的高度重視。實(shí)際上,不只是EOS平臺(tái),根據(jù)360信息安全部的研究,目前市面上20多款數(shù)字貨幣錢包APP同樣存在或多或少的安全問(wèn)題。

為更準(zhǔn)確地了解錢包APP的安全現(xiàn)狀,360信息安全部對(duì)應(yīng)用市場(chǎng)上流通的熱錢包以及冷錢包進(jìn)行了相關(guān)安全審核評(píng)估,并發(fā)布了關(guān)于數(shù)字貨幣錢包APP安全威脅概況的研究報(bào)告,針對(duì)常見(jiàn)的6大問(wèn)題,360加固??梢蕴峁┌ê诵拇a加固、防止錄屏、終端檢測(cè)、通信協(xié)議加密和數(shù)據(jù)文件保護(hù)等解決方案,全方位保護(hù)APP安全。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖1:錢包APP安全風(fēng)險(xiǎn)Top5

數(shù)字貨幣錢包安全威脅之一:核心功能代碼未加固

安卓應(yīng)用在未使用加固的情況下十分容易被反編譯出近似源碼的效果,所以在不加固的情況下,數(shù)字貨幣錢包十分容易被重打包,重打包的效果和偽造漏洞一樣,會(huì)給用戶造成直接損失。同時(shí),關(guān)鍵信息的泄露也會(huì)讓黑客更加容易分析代碼邏輯,將于助記詞使用相關(guān)的算法進(jìn)行提取,逆向分析出加解密流程,利用其它漏洞進(jìn)行盜取助記詞等信息。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖2:在不加固的情況下,數(shù)字貨幣錢包十分容易被重打包

360加固保是為移動(dòng)應(yīng)用安全提供專業(yè)保護(hù)的平臺(tái),專為開(kāi)發(fā)者的應(yīng)用提供免費(fèi)安全加固服務(wù),獨(dú)創(chuàng)多重防護(hù)方式,對(duì)應(yīng)用程序深度加密處理;獨(dú)有的程序文字信息加密功能,能有效防止應(yīng)用被反編譯和惡意篡改,保護(hù)應(yīng)用不被二次打包,保護(hù)數(shù)據(jù)信息不會(huì)被黑客竊取。開(kāi)發(fā)者無(wú)需任何開(kāi)發(fā)成本,一鍵上傳,即可在5分鐘內(nèi)完成應(yīng)用加固,從而徹底防止應(yīng)用在上線后被反編譯、調(diào)試、破解、二次打包和內(nèi)存截取等多種威脅。給予官方應(yīng)用最強(qiáng)保護(hù),從源頭消滅惡意盜版應(yīng)用,保護(hù)開(kāi)發(fā)者收入。

數(shù)字貨幣錢包安全威脅之二:錢包APP運(yùn)行環(huán)境不安全

數(shù)字貨幣錢包APP的一個(gè)安全重點(diǎn)就是運(yùn)行環(huán)境,安卓是一個(gè)非常龐大而且復(fù)雜的系統(tǒng),360安全團(tuán)隊(duì)在實(shí)際進(jìn)行分析測(cè)試的時(shí)候發(fā)現(xiàn)將近四分之三的APP都未對(duì)相關(guān)環(huán)境做過(guò)檢測(cè),無(wú)法保證用戶運(yùn)行APP的環(huán)境安全,最終可能導(dǎo)致用戶錢財(cái)受到損失。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖3:安卓系統(tǒng)漏洞讓錢包APP的運(yùn)行環(huán)境變得不安全

360加固?;谠O(shè)備終端檢測(cè)技術(shù)全方位監(jiān)測(cè),可以判斷設(shè)備是否Root、安裝Xposed框架、安裝雙開(kāi)軟件、是否是虛擬機(jī),并利用動(dòng)靜結(jié)合的雙擎檢測(cè)技術(shù),結(jié)合大數(shù)據(jù)深度挖掘能力,第一時(shí)間發(fā)現(xiàn)新型惡意應(yīng)用并及時(shí)預(yù)警攔截,確保設(shè)備終端的應(yīng)用處于安全狀態(tài)。

數(shù)字貨幣錢包安全威脅之三:助記詞、交易密碼泄露

比特派為比特幣官方推薦的一支第三方團(tuán)隊(duì)比太開(kāi)發(fā)的錢包應(yīng)用,目前在Google Play上安裝量達(dá)到10000+。360信息安全部在非Root環(huán)境下,對(duì)其進(jìn)行錄屏測(cè)試,發(fā)現(xiàn)在助記詞生成階段無(wú)法錄屏,但在導(dǎo)入錢包時(shí),可以錄下界面,此處可以導(dǎo)致助記詞泄露從而造成數(shù)字貨幣賬戶被盜。同時(shí),在輸入交易密碼時(shí)同樣存在可錄屏漏洞,通過(guò)觀察按鍵按下順序即可推出交易密碼。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖4:錄屏可能導(dǎo)致交易密碼泄露

這一問(wèn)題可由360加固保防錄屏SDK解決,該功能通過(guò)增強(qiáng)應(yīng)用安全屬性阻止截取應(yīng)用運(yùn)行時(shí)的屏幕信息,以此獲得用戶信息的行為,使用戶的信息得到了極大的保證。

數(shù)字貨幣錢包安全威脅之四:錢包APP偽造漏洞

錢包APP被黑客逆向后加入惡意代碼,回傳敏感信息如助記詞,修改交易收款方地址等,可能造成用戶錢財(cái)損失。同時(shí)APP本身如果對(duì)軟件完整性未做嚴(yán)格的校驗(yàn),同樣可以導(dǎo)致類似事件發(fā)生,在2017年底出現(xiàn)的Janus簽名漏洞可以直接應(yīng)用在此場(chǎng)景下。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖5:錢包APP被黑客逆向后加入惡意代碼可能造成用戶錢財(cái)損失

廣大開(kāi)發(fā)者可使用加固保提供的安全掃描功能,檢測(cè)是否存在janus漏洞及其他安全問(wèn)題,一鍵上傳APK,即可獲得專業(yè)的安全風(fēng)險(xiǎn)報(bào)告,還可以直接上傳進(jìn)行加固,當(dāng)加固后的APP遭遇此漏洞問(wèn)題,會(huì)直接崩潰。

數(shù)字貨幣錢包安全威脅之五:網(wǎng)絡(luò)數(shù)據(jù)交互被劫持篡改

當(dāng)用戶通過(guò)數(shù)字貨幣錢包進(jìn)行交易,衡量網(wǎng)絡(luò)連接安全不僅僅需要注意其是否對(duì)數(shù)據(jù)進(jìn)行加密,還要注意是否將助記詞,私鑰等數(shù)據(jù)傳輸回服務(wù)器,當(dāng)存儲(chǔ)助記詞的服務(wù)器被黑客入侵,極有可能導(dǎo)致賬戶被盜。

360加固保的通信協(xié)議加密SDK,可以通過(guò)對(duì)開(kāi)發(fā)者預(yù)提交的https通信證書(shū),進(jìn)行校驗(yàn)和鎖定,屏蔽各種第三方中間人注入工具(例如fiddler、burp等),防止https通信數(shù)據(jù)被攔截、竊聽(tīng)和修改,極大的保護(hù)了https通信中的協(xié)議安全。

數(shù)字貨幣錢包安全威脅之六:錢包敏感信息不正確存儲(chǔ)

在數(shù)字貨幣世界中,最關(guān)鍵的就是私鑰,那么對(duì)于用戶,數(shù)字貨幣錢包最關(guān)鍵的就是助記詞,有了助記詞我們可以推導(dǎo)出私鑰。所以,如果數(shù)字貨幣錢包對(duì)助記詞或者私鑰使用錯(cuò)誤的方式保存在了本地,在Root設(shè)備上攻擊者可以對(duì)該錢包文件進(jìn)行解碼并獲取用戶的助記詞,錢包私鑰等錢包數(shù)據(jù)。

不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包

圖6:錢包備份數(shù)據(jù)被錯(cuò)誤存儲(chǔ)風(fēng)險(xiǎn)大

360加固??梢詫?duì)應(yīng)用運(yùn)行中的產(chǎn)生的數(shù)據(jù)文件進(jìn)行加密保護(hù),將加密關(guān)鍵信息保存在Native 層保護(hù)殼中,防止數(shù)據(jù)文件被竊取和篡改。

現(xiàn)階段,市面上有大量良莠不齊的數(shù)字貨幣錢包存在,而不少開(kāi)發(fā)團(tuán)隊(duì)在以業(yè)務(wù)優(yōu)先的原則下,暫時(shí)對(duì)自身錢包產(chǎn)品的安全性并未做到足夠的防護(hù)。如果出現(xiàn)安全性問(wèn)題,便會(huì)導(dǎo)致大量用戶出現(xiàn)賬戶貨幣被盜,而由于數(shù)字貨幣實(shí)現(xiàn)的特殊性,被盜資產(chǎn)非常難以追回。

正如EOS被批露的“價(jià)值百億美金”的漏洞那樣,一旦被有心人利用,后果將不堪設(shè)想,經(jīng)濟(jì)損失難以估量。所以廠商在開(kāi)發(fā)APP時(shí),需有安全加固的意識(shí),及時(shí)使用360加固保等工具。

畢竟,未雨綢繆總要好過(guò)事后補(bǔ)救。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2018-05-30
不止EOS超級(jí)節(jié)點(diǎn)攻擊嚇人 這六大問(wèn)題直接威脅你的錢包
5月29日,360公司Vulcan(伏爾甘)團(tuán)隊(duì)披露了新型區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。

長(zhǎng)按掃碼 閱讀全文