论坛动态
AI升级2019智慧城市
中国智慧城市论坛与绿色智慧城市联盟达成合作
智慧城市实战专家推荐20名
2018年第二批智慧城市家名单
2018智慧城市全国行山东站召开
智慧城市组团发展交流会召开,一致认可了这个XXX
西北智慧城市研究中心即将成立
2018年新增专家名单
2018智慧城市全国行河北站召开
关于终止中国智慧城市论坛广义智慧城市研究中心的通知
   活动计划
2018智慧城市全国行江苏站 11月
2018智慧城市全国行河南站 11月
2018智慧城市全国行重庆站 10月
2018年智慧城市全国行江西站 9月 已举办
2018年智慧城市全国行湖北站 8月 已举办
2018年智慧城市全国行安徽站 7月 已召开
2018年智慧城市全国行四川站 6月 已召开
2018年智慧城市全国行山东站 5月 已召开
2018年智慧城市全国行陕西站 4月 已召开
平安集团智慧城市组团合作交流会 3月 已召开
    首页 - 信息安全 - 《加密数字钱包APP信息安全现状白皮书》正式发布
点击:97        时间:2018-12-26 13:34:11

  近日,中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建的区块链安全研究中心,和中国区块链应用研究中心、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书》。据悉,这是行业内首次采用公开、合法的信息,运用科学的研究方法,对当前加密数字钱包行业相关移动应用(APP)做出的信息安全分析评判。

  据剑桥大学统计,全球数字资产钱包用户2018年已经达到了3500万,比2016年增长了三倍有余。

  研究团队选择了6款去中心化数字钱包和8款包含数字钱包功能的中心化交易平台进行了评测。本次的评测结果表明,不同的APP安全防护水平存在较大的差别,部分防护较弱的APP可能轻易被黑客攻击,从而造成用户的信息泄露和财产损失。

  白皮书也在三个方面,提出“加密数字钱包APP代码安全规范”:在交易数据传输方法和实现方面,包括钱包私钥不能通过网络传输,不能使用HTTP明文进行数据通信,使用HTTPS则需要验证证书以及绑定证书,若使用自定义协议,则需要有完善的密钥交换协议。在服务器安全方面,服务器通过与客户端的通信接口,应当能够抵御常见的安全威胁。在代码保护方面,代码需要完整性检查码,代码能够防逆向分析,代码能够防进程注入。

  本次测评,各项评分越低,代表安全性越不足。最高100分,最低10分。我们选取了几款有代表性的数字钱包APP进行梳理、分析。

  火币 88分

  该APP安全性较好,但依旧存在安全隐患。虽然APP采用了HTTPS协议进行数据传输并且对HTTPS证书进行了校验,但没有对证书进行绑定。攻击者在替换手机证书的情况下。依然可以中间人攻击。

  Imtoken  84分

  该APP安全性较好,对钱包私钥的保护较好。APP私钥通过用户设置的钱包密码产生助记词来生成,钱包的导入、使用都需要助记词。但在用户导入、生成助记词的界面,APP未做相应的防截屏保护。在用户账户安全方面,虽然APP采用了HTTPS协议进行数据传输并且对HTTPS证书进行了校验,但没有对证书进行绑定,使得账户安全大大降低。

  麦子钱包 76分

  该APP对于钱包私钥的保护较好,在私钥使用方面,APP私钥通过用户设置的钱包密码产生助记词来生成,钱包的导入、使用都需要助记词。但在用户导入、生成助记词的界面,APP未做相应的防截屏保护。在私钥存储方面,APP依照数字货币钱包标准进行实现,相对安全。

  两个方面提高了用户在操作上的效率:通过指纹识别或者面部识别来完成转账操作和登陆操作;在转账操作中,麦子钱包提供了手机号转账方式,这种方式极大的方便了朋友之间的转账操作。在应用里面,我们可以看到三种保障:数字资产账户安全保障、转账超时保障和全球医疗互助保障。

  Coinbase  64分  

  该APP安全性较好但依旧存在隐患,APP采用了HTTPS协议进行数据传输并且对HTTPS证书进行了绑定,有效抵御了中间人攻击。不过对于一些敏感信心直接以明文形式存储在本地,使得APP安全性下降。在代码保护方面,APP缺乏混淆、加壳等保护措施,也缺乏重打包检测。

  ZB  54分

  该APP安全性存在不足,虽然APP采用了HTTPS协议进行数据传输,但缺乏证书校验,攻击者仍然可以进行中间人攻击。此外,虽然APP对网络传输过程中的敏感数据进行了加密,但其将手势密码、RSA私钥等敏感信息明文存储在本地,所以用户有泄露隐私的风险。

  关于14款数货币加密钱包APP的测评结果,我们在此就不一一赘叙。但是通过以上结果不难看出,没有百分之百完全安全、无风险的数字钱包。所以开发制定一套详细的针对数字货币钱包的安全规范和测试安全标准势在必行。并且构建企业广泛参与的安全生态也很有必要。另外,对用户进行数字货币钱包的安全知识普及和提高用户的信息安全意识也很重要。

  在当前环境下,安全问题成为市场健康发展的关键,而加密数字货币钱包的安全是其中的重点环节,也与广大数字货币投资者的切身利益息息相关,每一个数字货币者都应该擦亮眼睛选择适合自己的钱包并提高信息安全的意识。(来源:中华网)

QQ图片20180208135017.jpg