报告:加密数字钱包APP安全性严重不足
近日,中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建的区块链安全研究中心,和中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书》。
据悉,这是行业内首次采用公开、合法的信息,运用科学的研究方法,对当前加密数字钱包行业相关移动应用(APP)做出的信息安全分析评判。
据剑桥大学统计:
全球数字资产钱包用户2018年已经达到了3500万,比2016年增长了三倍有余。各大钱包厂商为了快速抢占市场,使其将精力倾注于迅速推出和迭代上,而忽视了数字钱包本身的安全性。所以市面上大部分数字钱包都存在被黑客攻击、盗币等安全隐患。
区块链最易受攻击的板块主要集中在交易平台、智能合约上,其中加密数字资产的交易平台占比最高,达到34.15%。
去中心化数字钱包和包含数字钱包功能的中心化交易平台
研究团队选择了6款去中心化数字钱包和8款包含数字钱包功能的中心化交易平台进行了评测。
根据《白皮书》中公布的测评排名,得分最高的去中心化数字钱包是imToken,得分最低的去中心化数字钱包是数字钱包校园版。得分最高的中心化交易所是火币,得分最低的是LBank。行业专家认为,在当下加密货币的发展探索中,安全存储已成为最为关键的一环,也是决定其健康可持续发展的基石。
▲6款去中心化数字钱包评测排名
▲8款包含数字钱包功能的中心化交易平台评测排名
本次的评测结果表明,加密数字钱包APP仍然存在大量安全问题,特别是私钥保护方面,实现安全性存在严重不足。另外,不同的APP安全防护水平存在较大的差别,部分防护较弱的APP可能轻易被黑客攻击,从而造成用户的信息泄露和财产损失。
主流加密数字钱包
白皮书在公布针对14个主流加密数字钱包的测评标准、测试方法和测评结果的同时,也提出了“加密数字钱包的私钥使用安全最佳实践”的五个注意事项:
1、包括无论是否加密,钱包私钥不能存放在服务器上。
2、无论是否加密,钱包私钥不能存放在外部存储卡上。
3、钱包私钥不能以明文存储在私有目录。
4、使用过钱包私钥后需要及时清理内存。
5、钱包私钥需要配合助记词使用,生成助记词过程禁止截屏。
白皮书也在三个方面,提出“加密数字钱包APP代码安全规范”:
在交易数据传输方法和实现方面,包括钱包私钥不能通过网络传输,不能使用HTTP明文进行数据通信,使用HTTPS则需要验证证书以及绑定证书,若使用自定义协议,则需要有完善的密钥交换协议。
在服务器安全方面,服务器通过与客户端的通信接口,应当能够抵御常见的安全威胁。
在代码保护方面,代码需要完整性检查码,代码能够防逆向分析,代码能够防进程注入。
中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦给数字钱包用户提出三点建议:
及时升级加密数字钱包APP,保持最新版本,防止旧版本安全漏洞遭到利用;
使用专用的移动设备和移动网络进行操作,并及时升级移动操作系统;
关注权威测评机构最新发布的加密数字钱包APP安全测试报告。
《白皮书》出品方表示,当前存在的大部分问题是因为开发人员缺乏安全意识和专业的安全开发知识所导致,希望通过白皮书的发布来呼吁行业内尽早建立关于加密数字钱包的安全评判标准,并让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。
来源 | 环球网
特别申明:区块链行业ICO项目鱼龙混杂,投资风险极高;各种数字货币真假难辨,需用户谨慎投资。本平台只负责分享信息,不构成任何投资建议,用户一切投资行为与本平台无关。