5月29日，360公司Vulcan(伏爾甘)團(tuán)隊(duì)披露了新型區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)，引起了區(qū)塊鏈和整個(gè)安全行業(yè)的高度重視。實(shí)際上，不只是EOS平臺(tái)，根據(jù)360信息安全部的研究，目前市面上20多款數(shù)字貨幣錢包APP同樣存在或多或少的安全問題。

為更準(zhǔn)確地了解錢包APP的安全現(xiàn)狀，360信息安全部對應(yīng)用市場上流通的熱錢包以及冷錢包進(jìn)行了相關(guān)安全審核評(píng)估，并發(fā)布了關(guān)于數(shù)字貨幣錢包APP安全威脅概況的研究報(bào)告，針對常見的6大問題，360加固?？梢蕴峁┌ê诵拇a加固、防止錄屏、終端檢測、通信協(xié)議加密和數(shù)據(jù)文件保護(hù)等解決方案，全方位保護(hù)APP安全。

圖1：錢包APP安全風(fēng)險(xiǎn)Top5

數(shù)字貨幣錢包安全威脅之一：核心功能代碼未加固

安卓應(yīng)用在未使用加固的情況下十分容易被反編譯出近似源碼的效果，所以在不加固的情況下，數(shù)字貨幣錢包十分容易被重打包，重打包的效果和偽造漏洞一樣，會(huì)給用戶造成直接損失。同時(shí)，關(guān)鍵信息的泄露也會(huì)讓黑客更加容易分析代碼邏輯，將于助記詞使用相關(guān)的算法進(jìn)行提取，逆向分析出加解密流程，利用其它漏洞進(jìn)行盜取助記詞等信息。

圖2：在不加固的情況下，數(shù)字貨幣錢包十分容易被重打包

360加固保是為移動(dòng)應(yīng)用安全提供專業(yè)保護(hù)的平臺(tái)，專為開發(fā)者的應(yīng)用提供免費(fèi)安全加固服務(wù)，獨(dú)創(chuàng)多重防護(hù)方式，對應(yīng)用程序深度加密處理;獨(dú)有的程序文字信息加密功能，能有效防止應(yīng)用被反編譯和惡意篡改，保護(hù)應(yīng)用不被二次打包，保護(hù)數(shù)據(jù)信息不會(huì)被黑客竊取。開發(fā)者無需任何開發(fā)成本，一鍵上傳，即可在5分鐘內(nèi)完成應(yīng)用加固，從而徹底防止應(yīng)用在上線后被反編譯、調(diào)試、破解、二次打包和內(nèi)存截取等多種威脅。給予官方應(yīng)用最強(qiáng)保護(hù)，從源頭消滅惡意盜版應(yīng)用，保護(hù)開發(fā)者收入。

數(shù)字貨幣錢包安全威脅之二：錢包APP運(yùn)行環(huán)境不安全

數(shù)字貨幣錢包APP的一個(gè)安全重點(diǎn)就是運(yùn)行環(huán)境，安卓是一個(gè)非常龐大而且復(fù)雜的系統(tǒng)，360安全團(tuán)隊(duì)在實(shí)際進(jìn)行分析測試的時(shí)候發(fā)現(xiàn)將近四分之三的APP都未對相關(guān)環(huán)境做過檢測，無法保證用戶運(yùn)行APP的環(huán)境安全，最終可能導(dǎo)致用戶錢財(cái)受到損失。

圖3：安卓系統(tǒng)漏洞讓錢包APP的運(yùn)行環(huán)境變得不安全

360加固保基于設(shè)備終端檢測技術(shù)全方位監(jiān)測，可以判斷設(shè)備是否Root、安裝Xposed框架、安裝雙開軟件、是否是虛擬機(jī)，并利用動(dòng)靜結(jié)合的雙擎檢測技術(shù)，結(jié)合大數(shù)據(jù)深度挖掘能力，第一時(shí)間發(fā)現(xiàn)新型惡意應(yīng)用并及時(shí)預(yù)警攔截，確保設(shè)備終端的應(yīng)用處于安全狀態(tài)。

數(shù)字貨幣錢包安全威脅之三：助記詞、交易密碼泄露

比特派為比特幣官方推薦的一支第三方團(tuán)隊(duì)比太開發(fā)的錢包應(yīng)用，目前在Google Play上安裝量達(dá)到10000+。360信息安全部在非Root環(huán)境下，對其進(jìn)行錄屏測試，發(fā)現(xiàn)在助記詞生成階段無法錄屏，但在導(dǎo)入錢包時(shí)，可以錄下界面，此處可以導(dǎo)致助記詞泄露從而造成數(shù)字貨幣賬戶被盜。同時(shí)，在輸入交易密碼時(shí)同樣存在可錄屏漏洞，通過觀察按鍵按下順序即可推出交易密碼。

圖4：錄屏可能導(dǎo)致交易密碼泄露

這一問題可由360加固保防錄屏SDK解決，該功能通過增強(qiáng)應(yīng)用安全屬性阻止截取應(yīng)用運(yùn)行時(shí)的屏幕信息，以此獲得用戶信息的行為，使用戶的信息得到了極大的保證。

數(shù)字貨幣錢包安全威脅之四：錢包APP偽造漏洞

錢包APP被黑客逆向后加入惡意代碼，回傳敏感信息如助記詞，修改交易收款方地址等，可能造成用戶錢財(cái)損失。同時(shí)APP本身如果對軟件完整性未做嚴(yán)格的校驗(yàn)，同樣可以導(dǎo)致類似事件發(fā)生，在2017年底出現(xiàn)的Janus簽名漏洞可以直接應(yīng)用在此場景下。

圖5：錢包APP被黑客逆向后加入惡意代碼可能造成用戶錢財(cái)損失

廣大開發(fā)者可使用加固保提供的安全掃描功能，檢測是否存在janus漏洞及其他安全問題，一鍵上傳APK，即可獲得專業(yè)的安全風(fēng)險(xiǎn)報(bào)告，還可以直接上傳進(jìn)行加固，當(dāng)加固后的APP遭遇此漏洞問題，會(huì)直接崩潰。

數(shù)字貨幣錢包安全威脅之五：網(wǎng)絡(luò)數(shù)據(jù)交互被劫持篡改

當(dāng)用戶通過數(shù)字貨幣錢包進(jìn)行交易，衡量網(wǎng)絡(luò)連接安全不僅僅需要注意其是否對數(shù)據(jù)進(jìn)行加密，還要注意是否將助記詞，私鑰等數(shù)據(jù)傳輸回服務(wù)器，當(dāng)存儲(chǔ)助記詞的服務(wù)器被黑客入侵，極有可能導(dǎo)致賬戶被盜。

360加固保的通信協(xié)議加密SDK，可以通過對開發(fā)者預(yù)提交的https通信證書，進(jìn)行校驗(yàn)和鎖定，屏蔽各種第三方中間人注入工具(例如fiddler、burp等)，防止https通信數(shù)據(jù)被攔截、竊聽和修改，極大的保護(hù)了https通信中的協(xié)議安全。

數(shù)字貨幣錢包安全威脅之六：錢包敏感信息不正確存儲(chǔ)

在數(shù)字貨幣世界中，最關(guān)鍵的就是私鑰，那么對于用戶，數(shù)字貨幣錢包最關(guān)鍵的就是助記詞，有了助記詞我們可以推導(dǎo)出私鑰。所以，如果數(shù)字貨幣錢包對助記詞或者私鑰使用錯(cuò)誤的方式保存在了本地，在Root設(shè)備上攻擊者可以對該錢包文件進(jìn)行解碼并獲取用戶的助記詞，錢包私鑰等錢包數(shù)據(jù)。

圖6：錢包備份數(shù)據(jù)被錯(cuò)誤存儲(chǔ)風(fēng)險(xiǎn)大

360加固?？梢詫?yīng)用運(yùn)行中的產(chǎn)生的數(shù)據(jù)文件進(jìn)行加密保護(hù)，將加密關(guān)鍵信息保存在Native 層保護(hù)殼中，防止數(shù)據(jù)文件被竊取和篡改。

現(xiàn)階段，市面上有大量良莠不齊的數(shù)字貨幣錢包存在，而不少開發(fā)團(tuán)隊(duì)在以業(yè)務(wù)優(yōu)先的原則下，暫時(shí)對自身錢包產(chǎn)品的安全性并未做到足夠的防護(hù)。如果出現(xiàn)安全性問題，便會(huì)導(dǎo)致大量用戶出現(xiàn)賬戶貨幣被盜，而由于數(shù)字貨幣實(shí)現(xiàn)的特殊性，被盜資產(chǎn)非常難以追回。

正如EOS被批露的“價(jià)值百億美金”的漏洞那樣，一旦被有心人利用，后果將不堪設(shè)想，經(jīng)濟(jì)損失難以估量。所以廠商在開發(fā)APP時(shí)，需有安全加固的意識(shí)，及時(shí)使用360加固保等工具。

畢竟，未雨綢繆總要好過事后補(bǔ)救。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。