当前位置 主页 > 行业资讯 > 最大化 缩小

    专业机构报告指出:加密数字钱包app存在重大安全隐患

    栏目:行业资讯 时间:2018-12-20 09:00

      来源/环球网
     
      近日,中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建的区块链安全研究中心,和中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书》。据悉,这是行业内首次采用公开、合法的信息,运用科学的研究方法,对当前加密数字钱包行业相关移动应用(APP)做出的信息安全分析评判。
      据剑桥大学统计,全球数字资产钱包用户2018年已经达到了3500万,比2016年增长了三倍有余。各大钱包厂商为了快速抢占市场,使其将精力倾注于迅速推出和迭代上,而忽视了数字钱包本身的安全性。所以市面上大部分数字钱包都存在被黑客攻击、盗币等安全隐患。
     
      研究团队选择了6款去中心化数字钱包和8款包含数字钱包功能的中心化交易平台进行了评测。本次的评测结果表明,加密数字钱包APP仍然存在大量安全问题,特别是私钥保护方面,实现安全性存在严重不足。另外,不同的APP安全防护水平存在较大的差别,部分防护较弱的APP可能轻易被黑客攻击,从而造成用户的信息泄露和财产损失。
     
      白皮书在公布针对14个主流加密数字钱包的测评标准、测试方法和测评结果的同时,也提出了“加密数字钱包的私钥使用安全最佳实践”的五个注意事项,包括无论是否加密,钱包私钥不能存放在服务器上;无论是否加密,钱包私钥不能存放在外部存储卡上;钱包私钥不能以明文存储在私有目录;使用过钱包私钥后需要及时清理内存;钱包私钥需要配合助记词使用,生成助记词过程禁止截屏。
     
      白皮书也在三个方面,提出“加密数字钱包APP代码安全规范”:在交易数据传输方法和实现方面,包括钱包私钥不能通过网络传输,不能使用HTTP明文进行数据通信,使用HTTPS则需要验证证书以及绑定证书,若使用自定义协议,则需要有完善的密钥交换协议。在服务器安全方面,服务器通过与客户端的通信接口,应当能够抵御常见的安全威胁。在代码保护方面,代码需要完整性检查码,代码能够防逆向分析,代码能够防进程注入。
     
      中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦给数字钱包用户提出三点建议,包括及时升级加密数字钱包APP,保持最新版本,防止旧版本安全漏洞遭到利用;使用专用的移动设备和移动网络进行操作,并及时升级移动操作系统;关注权威测评机构最新发布的加密数字钱包APP安全测试报告。
    原文链接:https://new.qq.com/omn/20181219/20181219A1J9DP.html