Android钱包漏洞：被夸大的事实还是为了博眼球？ - 网赚论坛

根据High-Tech Bridge公司近期的研究，几乎所有在Android系统上运行的加密货币钱包都是脆弱的，对用户资金构成了严重的风险。 TechRepublic在12月1日报道了安全问题，但却并没有求助于开发者并听取他们的意见。

High-Tech Bridge为Android系统上的钱包应用程序提供个性化分析报告，Coinbase，Mycelium和Monerujo钱包均存在一些问题。但报告指出，攻击者目前尚未利用这些漏洞窃取任何加密资产。

高桥技术团队在使用Mobile X-ray工具对所有的钱包应用进行分析后指出，在下载次数超过50万次的应用程序中，94％至少包含三个中等风险漏洞，或者没有任何后端强化或保护。 “中间人”攻击也被视为加密钱包的主要问题。

冷存储提供了一个简单的解决方案，只需将加密货币钱包离线就可以面任何网络攻击。但是，由于离线钱包交易不方便，移动钱包也仍然是一个很大的需求。选择移动应用程序时，请确保开发人员有良好的声誉，并提供开源软件。例如，Freewallet就是一个很好的例子，使用Freewallet可以远离任何攻击和诈骗。

高科技桥首席执行官Kolochenko表示：“不幸的是，我对这项研究的结果并不感到惊讶。多年来，网络安全公司和独立专家向移动应用程序开发人员通报了“敏捷”开发的风险，通常意味着没有框架来确保安全设计，安全编码，强化技术或应用程序安全测试。

“但是，这只是冰山一角。移动应用程序通常包含比后端更少的可以被利用的安全漏洞。移动应用程序的弱点可能会导致移动设备或其数据的泄露，而后端的脆弱API可能会允许攻击者篡改用户数据的完整性。“

但是，当向手机钱包开发者发出这些疑问的时候，这些担忧被认为是多余的。在向monerujo钱包的作者m2049r展示这份报告中关于Android monero钱包的漏洞的详细信息时，他回答说：

“这份报告有点杞人忧天。这个问题在monerujo钱包的使用情景下是无关紧要的，除了我们应该在哪个位置存储钱包文件这个问题外，但是这个问题已经在Reddit和GitHub上公开讨论过多次，并且各方都给出了合理的论据（请注意，PC客户端存储钱包文件的方式与monerujo一致）。很多时候最好不要依赖自动生成的代码分析工具。所以，他们所提出的担忧基本是无理取闹。“

近日来，我们目睹了欧盟，英国和美国加强了对加密货币的监管措施，以及象牙塔内的经济学家要求禁止比特币的的提议。再加上“几乎100％的Android钱包应用程序包含严重漏洞，可能危及用户资金安全”的担忧，比特币和加密货币在完全颠覆世界之前还有一段很长的路要走。

原文链接：https://btcmanager.com/android-crypto-wallet-vulnerabilities-overblown-claims-or-cause-for-concern/