近日,中國信息通信研究院泰爾終端實驗室、
上海交通大學網絡空間安全學院、上海掌御信息科技有限公司共建的
區塊鏈安全研究中心,和中國
區塊鏈應用研究中心、上海淳粹文化傳媒有限公司、
杭州加密谷區塊鏈科技有限公司聯合發布《加密數字錢包APP信息安全現狀白皮書》。據悉,這是行業內首次采用公開、合法的信息,運用科學的研究方法,對當前加密數字錢包行業相關移動應用(APP)做出的信息安全分析評判。
據劍橋大學統計,全球數字資產錢包用戶2018年已經達到了3500萬,比2016年增長了三倍有余。各大錢包廠商為了快速搶占市場,使其將精力傾注于迅速推出和迭代上,而忽視了數字錢包本身的安全性。所以市面上大部分數字錢包都存在被黑客攻擊、盜幣等安全隱患。
研究團隊選擇了6款去中心化數字錢包和8款包含數字錢包功能的中心化交易平臺進行了評測。本次的評測結果表明,加密數字錢包APP仍然存在大量安全問題,特別是私鑰保護方面,實現安全性存在嚴重不足。另外,不同的APP安全防護水平存在較大的差別,部分防護較弱的APP可能輕易被黑客攻擊,從而造成用戶的信息泄露和財產損失。
白皮書在公布針對14個主流加密數字錢包的測評標準、測試方法和測評結果的同時,也提出了“加密數字錢包的私鑰使用安全最佳實踐”的五個注意事項,包括無論是否加密,錢包私鑰不能存放在服務器上;無論是否加密,錢包私鑰不能存放在外部存儲卡上;錢包私鑰不能以明文存儲在私有目錄;使用過錢包私鑰后需要及時清理內存;錢包私鑰需要配合助記詞使用,生成助記詞過程禁止截屏。
白皮書也在三個方面,提出“加密數字錢包APP代碼安全規范”:在交易數據傳輸方法和實現方面,包括錢包私鑰不能通過網絡傳輸,不能使用HTTP明文進行數據通信,使用HTTPS則需要驗證證書以及綁定證書,若使用自定義協議,則需要有完善的密鑰交換協議。在服務器安全方面,服務器通過與客戶端的通信接口,應當能夠抵御常見的安全威脅。在代碼保護方面,代碼需要完整性檢查碼,代碼能夠防逆向分析,代碼能夠防進程注入。
中國信息通信研究院泰爾終端實驗室信息安全部副主任袁琦給數字錢包用戶提出三點建議,包括及時升級加密數字錢包APP,保持最新版本,防止舊版本安全漏洞遭到利用;使用專用的移動設備和移動網絡進行操作,并及時升級移動操作系統;關注權威測評機構最新發布的加密數字錢包APP安全測試報告。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
