久久久久在线观看_又色又爽又黄的免费视频播放_一区中文字幕_日韩电影在线播放

今日頭條 焦點資訊 營銷之道 企業(yè)報道 淘寶運營 網(wǎng)站建設(shè) 軟件開發(fā) 400電話
  當前位置: 首頁 » 資訊 » 焦點資訊 » 正文

知名數(shù)字錢包安全漏洞:加密數(shù)字貨幣資產(chǎn)面臨被盜風險

放大字體  縮小字體 發(fā)布日期:2018-02-27  來源:新格網(wǎng)  作者:新格網(wǎng)  瀏覽次數(shù):773  【去百度看看】
核心提示:中新網(wǎng)2月24日電加密數(shù)字貨幣資產(chǎn)的安全性完全建立在加密數(shù)字錢包私鑰本身的安全性上,私鑰是唯一的數(shù)字資產(chǎn)憑證。因為私鑰一旦創(chuàng)建就不能修改,沒法重置,只要私鑰不丟失,資產(chǎn)就不會丟失。因此整個加密數(shù)字資產(chǎn)

中新網(wǎng)2月24日電 加密數(shù)字貨幣資產(chǎn)的安全性完全建立在加密數(shù)字錢包私鑰本身的安全性上,私鑰是唯一的數(shù)字資產(chǎn)憑證。因為私鑰一旦創(chuàng)建就不能修改,沒法重置,只要私鑰不丟失,資產(chǎn)就不會丟失。因此整個加密數(shù)字資產(chǎn)的安全性話題都是圍繞私鑰的存儲和使用來進行的。對于目前移動端錢包所使用的輕錢包模式來說,用戶終端私鑰存儲的安全性是非常核心和關(guān)鍵的問題,如果設(shè)計不當則有可能會導(dǎo)致私鑰的流失、資產(chǎn)的被盜。

基于獵豹移動發(fā)布的《2018全球加密數(shù)字貨幣錢包安全白皮書》內(nèi)容,我們首先對市面上的數(shù)字錢包產(chǎn)品在私鑰存儲問題上進行了安全分析,發(fā)現(xiàn)Bitcoin Wallet 和Jaxx Blockchain Wallet 兩款產(chǎn)品在私鑰存儲中存在巨大的安全漏洞。

Bitcoin Wallet 是一款非常著名的比特幣的錢包,用戶安裝量超過了50萬用戶,而且有著良好的口碑。但是在分析的時候發(fā)現(xiàn),Bitcoin Wallet助記詞是以明文的方式存放在系統(tǒng)的/data/data/com.bitcoin.mwallet /files/profile 文件里面的。

也就是說Bitcoin Wallet已經(jīng)完全將資產(chǎn)的安全性交給了系統(tǒng)來保護,但是我們知道系統(tǒng)本身是非常復(fù)雜的,而且充滿了各種安全漏洞,只要利用一個漏洞就可以瞬間獲取到Bitcoin Wallet錢包的助記詞和私鑰。例如:只要你的手機里面有任何APP利用漏洞拿到了系統(tǒng)的ROOT權(quán)限,那么這個APP就可以瞬間拿到錢包的助記詞,導(dǎo)致數(shù)字資產(chǎn)可以隨時被盜取,而上述動作是完全可以在后臺發(fā)生的,用戶完全不知道;更可怕的是,即使沒有應(yīng)用有ROOT權(quán)限,只需將手機的充電端口連接到黑客控制的充電設(shè)備也可以在幾分鐘時間內(nèi)拿到錢包的助記詞,導(dǎo)致數(shù)字資產(chǎn)可以隨時被盜取。

根據(jù)獵豹移動提供的白皮書,存儲在用戶設(shè)備里面的私鑰/助記詞是必須使用安全的加密方法進行加密的,Bitcoin Wallet 作為一款知名的數(shù)字錢包,因為未能正確的加密存儲用戶設(shè)備里面的錢包的私鑰/助記詞,已經(jīng)讓超過50萬的用戶面臨極大的安全風險。

Jaxx是另一個著名的移動加密貨幣錢包,具有大量功能,包括支持多種貨幣類型,以及最近添加的數(shù)字貨幣兌換平臺,允許用戶在錢包內(nèi)兌換比特幣,以太幣和ERC20代幣。

在檢查Jaxx的數(shù)據(jù)備份機制時,我們發(fā)現(xiàn)了重大的安全漏洞,比Bitcoin Wallet更嚴重。 事實上,存儲在Jaxx中的私鑰可以被黑客竊取,只需很少的努力。

要獲取JAXX的私鑰文件,有2個步驟需要完成:1)獲取存儲私鑰的數(shù)據(jù)文件;2)對存儲私鑰的數(shù)據(jù)文件進行解密

步驟一:獲取存儲私鑰的數(shù)據(jù)文件

我們有2種方法可以獲取存儲私鑰的數(shù)據(jù)文件:

方法1)利用系統(tǒng)的備份機制,通過adb backup 命令或BackupManagerService 提供的API,就能夠把JAXX存儲私鑰的數(shù)據(jù)文件拿到手。這樣的安全漏洞的產(chǎn)生,是因為JAXX 開發(fā)團隊忽略了Android APP的一個重要的安全設(shè)置參數(shù)android:allowBackup 的使用,沒有正確的設(shè)置android:allowBackup 參數(shù)而導(dǎo)致安全漏洞出現(xiàn)。在獵豹移動發(fā)布的2018加密貨幣數(shù)字錢包安全白皮書里面,數(shù)據(jù)備份的安全風險是一個很容易被人忽視的內(nèi)容。

方法2)利用系統(tǒng)漏洞,繞過系統(tǒng)的安全邊界,拿到用于存儲私鑰的數(shù)據(jù)文件。

步驟二:對存儲私鑰的數(shù)據(jù)文件進行解密

JAXX 對存儲私鑰的數(shù)據(jù)文件使用了AES算法進行加密處理。在密鑰長度滿足一定條件且算法正常使用的情況下,AES加密以后的文件基本上是不可能被破解的。但是JAXX團隊對于AES加密算法使用上存在重大錯誤,沒有正確的使用AES加密算法。JAXX的AES加密用的關(guān)鍵參數(shù)是在代碼硬編碼的而不是按照一定安全規(guī)則隨機生成,導(dǎo)致只需要通過簡單的逆向分析能力就能夠拿到AES加密參數(shù),然后對存儲私鑰的數(shù)據(jù)文件的內(nèi)容進行解密。下圖顯示了JAXX產(chǎn)品里面使用的固定的AES加密參數(shù):

在完成上述2個步驟以后,JAXX錢包的私鑰文件就能夠非常輕而易舉的被攻擊者拿到,而且能夠輕而易舉的解密出來。

JAXX發(fā)布至今已經(jīng)有超過10萬用戶在使用,而且最新的更新里面還增加了對交易所的支持,可見用戶對于JAXX的喜愛還是很高的。但是因為沒有使用正確的安全設(shè)計理論,導(dǎo)致了JAXX這10萬用戶已經(jīng)處于極高的安全風險。

獵豹移動發(fā)布的加密數(shù)字貨幣錢包安全白皮書,一方面是讓用戶更清楚的認識和了解數(shù)字貨幣錢包的安全性問題、提高警惕;另一方面通過提出數(shù)字貨幣錢包安全標準的方式促進行業(yè)內(nèi)同類產(chǎn)品的安全升級,共同保護用戶資產(chǎn)的安全性。我們相信Bitcoin Wallet產(chǎn)品團隊和Jaxx Blockchain Wallet產(chǎn)品團隊都能在短時間內(nèi)完成漏洞的修復(fù),但是因為私鑰已經(jīng)存在被泄露的風險,因此對于這2個產(chǎn)品的用戶,應(yīng)在開發(fā)商完成漏洞修補升級版本之前立即換用其他安全的加密數(shù)字錢包應(yīng)用,例如獵豹移動發(fā)布的SafeWallet,并重新創(chuàng)建一個全新的錢包地址,通過轉(zhuǎn)賬的方式將舊地址的資產(chǎn)轉(zhuǎn)移到新地址,最后將舊地址作廢,只有這樣才能確保數(shù)字資產(chǎn)的安全。

 
關(guān)鍵詞: 加密貨幣
 
[ 資訊搜索 ]  [ 加入收藏 ]  [ 告訴好友 ]  [ 打印本文 ]  [ 違規(guī)舉報 ]  [ 關(guān)閉窗口 ]

 
0條 [查看全部]  相關(guān)評論

 
網(wǎng)站首頁 | 關(guān)于我們 | 聯(lián)系方式 | 使用協(xié)議 | 版權(quán)隱私 | 網(wǎng)站地圖 | 排名推廣 | 廣告服務(wù) | 積分換禮 | 網(wǎng)站留言 | RSS訂閱 | 吉ICP備11001726號-6
企業(yè)800網(wǎng) · 提供技術(shù)支持