当前位置 主页 > 行业资讯 >

专业机构报告指出:加密数字钱包app存在重大安全隐患

栏目:行业资讯 时间:2018-12-20 09:00

  来源/环球网
 
  近日,中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建的区块链安全研究中心,和中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书》。据悉,这是行业内首次采用公开、合法的信息,运用科学的研究方法,对当前加密数字钱包行业相关移动应用(APP)做出的信息安全分析评判。
  据剑桥大学统计,全球数字资产钱包用户2018年已经达到了3500万,比2016年增长了三倍有余。各大钱包厂商为了快速抢占市场,使其将精力倾注于迅速推出和迭代上,而忽视了数字钱包本身的安全性。所以市面上大部分数字钱包都存在被黑客攻击、盗币等安全隐患。
 
  研究团队选择了6款去中心化数字钱包和8款包含数字钱包功能的中心化交易平台进行了评测。本次的评测结果表明,加密数字钱包APP仍然存在大量安全问题,特别是私钥保护方面,实现安全性存在严重不足。另外,不同的APP安全防护水平存在较大的差别,部分防护较弱的APP可能轻易被黑客攻击,从而造成用户的信息泄露和财产损失。
 
  白皮书在公布针对14个主流加密数字钱包的测评标准、测试方法和测评结果的同时,也提出了“加密数字钱包的私钥使用安全最佳实践”的五个注意事项,包括无论是否加密,钱包私钥不能存放在服务器上;无论是否加密,钱包私钥不能存放在外部存储卡上;钱包私钥不能以明文存储在私有目录;使用过钱包私钥后需要及时清理内存;钱包私钥需要配合助记词使用,生成助记词过程禁止截屏。
 
  白皮书也在三个方面,提出“加密数字钱包APP代码安全规范”:在交易数据传输方法和实现方面,包括钱包私钥不能通过网络传输,不能使用HTTP明文进行数据通信,使用HTTPS则需要验证证书以及绑定证书,若使用自定义协议,则需要有完善的密钥交换协议。在服务器安全方面,服务器通过与客户端的通信接口,应当能够抵御常见的安全威胁。在代码保护方面,代码需要完整性检查码,代码能够防逆向分析,代码能够防进程注入。
 
  中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦给数字钱包用户提出三点建议,包括及时升级加密数字钱包APP,保持最新版本,防止旧版本安全漏洞遭到利用;使用专用的移动设备和移动网络进行操作,并及时升级移动操作系统;关注权威测评机构最新发布的加密数字钱包APP安全测试报告。
原文链接:https://new.qq.com/omn/20181219/20181219A1J9DP.html
缩小 缩小 缩小 缩小
IIS7整站下载工具 IIS7批量查询排名 IIS7远程桌面连接工具 iis7-iis网站批量管理 iis7批量替换工具 IIS7服务器专用下载工具 IIS7日志分析工具 IIS7批量PING,服务器批量添加网卡IP小工具 IIS7远程同步备份工具
IIS7网站监控 站群批量SEO查询 批量获取排名域名 批量关键词排名查询 模拟各种蜘蛛 批量友情链接监测 批量检测死链 搜索引擎大全 批量查询外链
批量查询网站标题 批量查询KeyWords 批量查询描述 批量查询网站IP 批量百度收录查询 批量查询百度日收录 批量查询百度周收录 批量查询百度月收录 批量查询360总收录 批量查询360日收录 批量查询网站年龄 批量查询360PC权重 批量查询爱站移动权重 批量查询站长移动权重 批量查询360移动权重 批量查询神马权重 批量查询谷歌PR 批量查询搜狗PR 批量查询百度反链 批量查询爱站首页反链 批量查询爱站内页反链 批量查询百度快照 批量查询搜狗快照 批量icp备案查询 批量网站ip地址查询 批量查询导出链接 批量查询百度V认证 批量查询百度安全 批量查询站长PC权重 批量查询爱站PC权重 批量查询搜狗总收录 站长资源大全 IIS7-cms大全 IIS7站群大全 IIS7虚拟空间大全 IIS7服务器大全 IIS7-VPS大全 服务器代购 站群专用 美国站群服务器 香港站群服务器 特供站群vps 亚洲服务器 菲律宾HS 韩国首尔 香港PCCW 香港沙田电信 香港PowerLine 日本多机房 新加坡多机房 韩国大带宽 香港新世界 香港Pangnet 台湾 美国服务器 加州RS 美国vps母鸡租用 洛杉矶MC 洛杉矶C3 特价促销区 洛杉矶NS 洛杉矶Cera高防 洛杉矶HS高防 SK高防 洛杉矶WX 加州RH 芝加哥AT VPS云主机 香港沙田电信 韩国首尔 香港Pangnet 新加坡SG 香港PL 洛杉矶SK 抗攻击 洛杉矶C3 日本大阪 洛杉矶Cera 抗攻击 洛杉矶MC 纽约 SSD 抗攻击 大容量备份VPS 国庆大促 俄罗斯