根据High-Tech Bridge公司近期的研究,几乎所有在Android系统上运行的加密货币钱包都是脆弱的,对用户资金构成了严重的风险。 TechRepublic在12月1日报道了安全问题,但却并没有求助于开发者并听取他们的意见。
从问题转向选择
High-Tech Bridge为Android系统上的钱包应用程序提供个性化分析报告,Coinbase,Mycelium和Monerujo钱包均存在一些问题。但报告指出,攻击者目前尚未利用这些漏洞窃取任何加密资产。
高桥技术团队在使用Mobile X-ray工具对所有的钱包应用进行分析后指出,在下载次数超过50万次的应用程序中,94%至少包含三个中等风险漏洞,或者没有任何后端强化或保护。 “中间人”攻击也被视为加密钱包的主要问题。
冷存储提供了一个简单的解决方案,只需将加密货币钱包离线就可以面任何网络攻击。但是,由于离线钱包交易不方便,移动钱包也仍然是一个很大的需求。选择移动应用程序时,请确保开发人员有良好的声誉,并提供开源软件。例如,Freewallet就是一个很好的例子,使用Freewallet可以远离任何攻击和诈骗。
冰山一角?
高科技桥首席执行官Kolochenko表示:“不幸的是,我对这项研究的结果并不感到惊讶。多年来,网络安全公司和独立专家向移动应用程序开发人员通报了“敏捷”开发的风险,通常意味着没有框架来确保安全设计,安全编码,强化技术或应用程序安全测试。
“但是,这只是冰山一角。移动应用程序通常包含比后端更少的可以被利用的安全漏洞。移动应用程序的弱点可能会导致移动设备或其数据的泄露,而后端的脆弱API可能会允许攻击者篡改用户数据的完整性。“
但是,当向手机钱包开发者发出这些疑问的时候,这些担忧被认为是多余的。在向monerujo钱包的作者m2049r展示这份报告中关于Android monero钱包的漏洞的详细信息时,他回答说:
“这份报告有点杞人忧天。这个问题在monerujo钱包的使用情景下是无关紧要的,除了我们应该在哪个位置存储钱包文件这个问题外,但是这个问题已经在Reddit和GitHub上公开讨论过多次,并且各方都给出了合理的论据(请注意,PC客户端存储钱包文件的方式与monerujo一致)。很多时候最好不要依赖自动生成的代码分析工具。所以,他们所提出的担忧基本是无理取闹。“
而Mycelium钱包和Coinbase的开发者在撰写本文时尚未回复。
任重道远
随着加密货币行业的崛起,越来越多的负面新闻也随之而来。
近日来,我们目睹了欧盟,英国和美国加强了对加密货币的监管措施,以及象牙塔内的经济学家要求禁止比特币的的提议。再加上“几乎100%的Android钱包应用程序包含严重漏洞,可能危及用户资金安全”的担忧,比特币和加密货币在完全颠覆世界之前还有一段很长的路要走。
原文链接:https://btcmanager.com/android-crypto-wallet-vulnerabilities-overblown-claims-or-cause-for-concern/
转载请注明来源于以太经典ETC
欢迎关注!
|