加密数字货币(知名数字钱包安全漏洞:加密数字货币资产面临被盗风险)
中新网2月24日电 加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上,私钥是唯一的数字资产凭证。因为私钥一旦创建就不能修改,没法重置,只要私钥不丢失,资产就不会丢失。因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。对于目前移动端钱包所使用的轻钱包模式来说,用户终端私钥存储的安全性是非常核心和关键的问题,如果设计不当则有可能会导致私钥的流失、资产的被盗。
基于猎豹移动发布的《2018全球加密数字货币钱包安全白皮书》内容,我们首先对市面上的数字钱包产品在私钥存储问题上进行了安全分析,发现Bitcoin Wallet 和 Jaxx Blockchain Wallet 两款产品在私钥存储中存在巨大的安全漏洞。
Bitcoin Wallet 是一款非常著名的比特币的钱包,用户安装量超过了50万用户,而且有着良好的口碑。但是在分析的时候发现,Bitcoin Wallet助记词是以明文的方式存放在 系统的/data/data/com.bitcoin.mwallet /files/profile 文件里面的。
也就是说Bitcoin Wallet已经完全将资产的安全性交给了系统来保护,但是我们知道系统本身是非常复杂的,而且充满了各种安全漏洞,只要利用一个漏洞就可以瞬间获取到Bitcoin Wallet钱包的助记词和私钥。例如:只要你的手机里面有任何APP利用漏洞拿到了系统的ROOT权限,那么这个APP就可以瞬间拿到钱包的助记词,导致数字资产可以随时被盗取,而上述动作是完全可以在后台发生的,用户完全不知道;更可怕的是,即使没有应用有ROOT权限,只需将手机的充电端口连接到黑客控制的充电设备也可以在几分钟时间内拿到钱包的助记词,导致数字资产可以随时被盗取。
根据猎豹移动提供的白皮书,存储在用户设备里面的私钥/助记词是必须使用安全的加密方法进行加密的,Bitcoin Wallet 作为一款知名的数字钱包,因为未能正确的加密存储用户设备里面的钱包的私钥/助记词,已经让超过50万的用户面临极大的安全风险。
Jaxx是另一个着名的移动加密货币钱包,具有大量功能,包括支持多种货币类型,以及最近添加的数字货币兑换平台,允许用户在钱包内兑换比特币,以太币和ERC20代币。
在检查Jaxx的数据备份机制时,我们发现了重大的安全漏洞,比Bitcoin Wallet更严重。 事实上,存储在Jaxx中的私钥可以被黑客窃取,只需很少的努力。
要获取JAXX的私钥文件,有2个步骤需要完成:1)获取存储私钥的数据文件;2)对存储私钥的数据文件进行解密
步骤一:获取存储私钥的数据文件
我们有2种方法可以获取存储私钥的数据文件:
方法1)利用系统的备份机制,通过adb backup 命令或 BackupManagerService 提供的API,就能够把JAXX存储私钥的数据文件拿到手。这样的安全漏洞的产生,是因为 JAXX 开发团队忽略了 Android APP的一个重要的安全设置参数 android:allowBackup 的使用,没有正确的设置 android:allowBackup 参数而导致安全漏洞出现。在猎豹移动发布的2018加密货币数字钱包安全白皮书里面,数据备份的安全风险是一个很容易被人忽视的内容。
方法2)利用系统漏洞,绕过系统的安全边界,拿到用于存储私钥的数据文件。
步骤二:对存储私钥的数据文件进行解密
JAXX 对存储私钥的数据文件使用了AES算法进行加密处理。在密钥长度满足一定条件且算法正常使用的情况下,AES加密以后的文件基本上是不可能被破解的。但是JAXX团队对于AES加密算法使用上存在重大错误,没有正确的使用AES加密算法。JAXX的AES加密用的关键参数是在代码硬编码的而不是按照一定安全规则随机生成,导致只需要通过简单的逆向分析能力就能够拿到AES加密参数,然后对存储私钥的数据文件的内容进行解密。下图显示了JAXX产品里面使用的固定的AES加密参数:
在完成上述2个步骤以后,JAXX钱包的私钥文件就能够非常轻而易举的被攻击者拿到,而且能够轻而易举的解密出来。
JAXX发布至今已经有超过10万用户在使用,而且最新的更新里面还增加了对交易所的支持,可见用户对于JAXX的喜爱还是很高的。但是因为没有使用正确的安全设计理论,导致了JAXX这10万用户已经处于极高的安全风险。
猎豹移动发布的加密数字货币钱包安全白皮书,一方面是让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕;另一方面通过提出数字货币钱包安全标准的方式促进行业内同类产品的安全升级,共同保护用户资产的安全性。我们相信Bitcoin Wallet产品团队和Jaxx Blockchain Wallet产品团队都能在短时间内完成漏洞的修复,但是因为私钥已经存在被泄露的风险,因此对于这2个产品的用户,应在开发商完成漏洞修补升级版本之前立即换用其他安全的加密数字钱包应用,例如猎豹移动发布的SafeWallet,并重新创建一个全新的钱包地址,通过转账的方式将旧地址的资产转移到新地址,最后将旧地址作废,只有这样才能确保数字资产的安全。
相关内容
相关资讯
-
虚拟币平台钱包(虚拟币 钱包)虚拟货币钱包APP哪一种比较安全好用鏍规嵁銆婂叧浜庨槻鑼冧唬甯佸彂琛岃瀺璧勯闄╃殑鍏憡銆嬶紝鎴戝浗澧冨唴娌℃湁鎵瑰噯鐨勬暟瀛楄揣甯佷氦鏄撳钩鍙般€傛牴鎹垜鍥界殑鏁板瓧璐у竵鐩戠瑙勫畾锛屾姇璧勮
-
虚拟货币上币的平台 国内正规的虚拟货币交易有哪些br/>鐏竵鍏ㄧ悆涓撲笟绔欐槸鐏竵闆嗗洟鏃椾笅鏈嶅姟浜庡叏鐞冧笓涓氫氦鏄撶敤鎴风殑鍒涙柊鏁板瓧璧勪骇鍥介檯绔欙紝鑷村姏浜庡彂鐜颁紭璐ㄧ殑鍒涙柊鏁板瓧璧勪骇鎶曡祫鏈轰細锛岀洰鍓嶆彁渚涘洓鍗佸绉嶆暟
-
-
虚拟币哪个平台好 虚拟币哪个平台好用目前国内比较好的数字货币交易平台应该属于三巨头,不管从数字货币成交量资金量来讲是从网站的安全性来讲,币安、火币、OKEX这三家大平台交易所都是非常不错的
-
股指期货对冲平仓,股指期货对冲原理现手最近一笔的成交手数开仓是指开新的多头仓位或者新的空头仓位,也就是新买进或者新卖出一定手数的股指期货合约平仓如果你已经开了多头仓位的话,就需要卖出手上的合约来进行对冲平仓
-
2016年期货双边手续费 2016期货最新手续费但如果你有认识好的期货客户经理,那你开的户可以只在交易所收取的标准上+0.01元每手,还是黄金,你交的总手续费只需10.01元
-
比特币大牛(比特币大牛市)在巴比特创始人长铗看来:“中本聪在密码朋克组中是一个年轻后辈(可能30岁出头),但地位十分显赫,在这个密码朋克组中,有菲利普·希默曼(PGP技术的开发者)、约翰·吉尔摩(太阳微系统公司的明星员工)、斯
-
实时快讯
-
半年前黄金电子货币?电子货币 金属货币
-
半年前鼓励数字货币(数字货币有哪些)
-
半年前辐射货币代码,辐射4动力装甲代码
-
半年前国际汇兑货币,国际汇兑的两种方法
-
半年前黄金储备 基础货币?基础货币和储备货币的区别
-
半年前宏观微观货币,货币的四个职能
-
半年前黄金 货币 关系(黄金货币投资)
-
半年前国际货币基金组织份额(收益好的十大货币基金)
