网赚论坛

 找回密码
 免费注册
查看: 484|回复: 0
打印 上一主题 下一主题

Android钱包漏洞:被夸大的事实还是为了博眼球?

[复制链接]

17

主题

34

帖子

68

积分

Ⅰ级财主

Rank: 1

积分
68
跳转到指定楼层
楼主
发表于 2017-12-20 22:30:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式




根据High-Tech Bridge公司近期的研究,几乎所有在Android系统上运行的加密货币钱包都是脆弱的,对用户资金构成了严重的风险。 TechRepublic在12月1日报道了安全问题,但却并没有求助于开发者并听取他们的意见。



从问题转向选择



High-Tech Bridge为Android系统上的钱包应用程序提供个性化分析报告,Coinbase,Mycelium和Monerujo钱包均存在一些问题。但报告指出,攻击者目前尚未利用这些漏洞窃取任何加密资产。



高桥技术团队在使用Mobile X-ray工具对所有的钱包应用进行分析后指出,在下载次数超过50万次的应用程序中,94%至少包含三个中等风险漏洞,或者没有任何后端强化或保护。 “中间人”攻击也被视为加密钱包的主要问题。



冷存储提供了一个简单的解决方案,只需将加密货币钱包离线就可以面任何网络攻击。但是,由于离线钱包交易不方便,移动钱包也仍然是一个很大的需求。选择移动应用程序时,请确保开发人员有良好的声誉,并提供开源软件。例如,Freewallet就是一个很好的例子,使用Freewallet可以远离任何攻击和诈骗。



冰山一角?



高科技桥首席执行官Kolochenko表示:“不幸的是,我对这项研究的结果并不感到惊讶。多年来,网络安全公司和独立专家向移动应用程序开发人员通报了“敏捷”开发的风险,通常意味着没有框架来确保安全设计,安全编码,强化技术或应用程序安全测试。



“但是,这只是冰山一角。移动应用程序通常包含比后端更少的可以被利用的安全漏洞。移动应用程序的弱点可能会导致移动设备或其数据的泄露,而后端的脆弱API可能会允许攻击者篡改用户数据的完整性。“



但是,当向手机钱包开发者发出这些疑问的时候,这些担忧被认为是多余的。在向monerujo钱包的作者m2049r展示这份报告中关于Android monero钱包的漏洞的详细信息时,他回答说:



“这份报告有点杞人忧天。这个问题在monerujo钱包的使用情景下是无关紧要的,除了我们应该在哪个位置存储钱包文件这个问题外,但是这个问题已经在Reddit和GitHub上公开讨论过多次,并且各方都给出了合理的论据(请注意,PC客户端存储钱包文件的方式与monerujo一致)。很多时候最好不要依赖自动生成的代码分析工具。所以,他们所提出的担忧基本是无理取闹。“



而Mycelium钱包和Coinbase的开发者在撰写本文时尚未回复。



任重道远



随着加密货币行业的崛起,越来越多的负面新闻也随之而来。



近日来,我们目睹了欧盟,英国和美国加强了对加密货币的监管措施,以及象牙塔内的经济学家要求禁止比特币的的提议。再加上“几乎100%的Android钱包应用程序包含严重漏洞,可能危及用户资金安全”的担忧,比特币和加密货币在完全颠覆世界之前还有一段很长的路要走。



原文链接:https://btcmanager.com/android-crypto-wallet-vulnerabilities-overblown-claims-or-cause-for-concern/




转载请注明来源于以太经典ETC

欢迎关注!





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

广告合作|Archiver|手机版|小黑屋|财富吧

GMT+8, 2024-11-17 04:43 , Processed in 0.296401 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.1

© 2014-2021 财富吧

快速回复 返回顶部 返回列表