区块链C端数据安全如何保障?

曲速未来安全区
曲速未来安全区 机构得得号

Apr 02, 2019 专注于为读者提供区块链安全领域最新讯息

摘要: 近期,以太坊著名的浏览器扩展插件MetaMask被暴出现隐私泄漏的安全问题,可能让用户的以太坊地址在不知情的情况下被DApp开发方等第三方获得。

MetaMask的问题本质上是私有数据权限过度开放的问题,为了用户体验而做了安全上的牺牲。类似的问题在Android App端也同样存在,特别在数字钱包、交易所这样的App使用中危害可能更大。比如,当我们备份私钥,或者通过钱包地址进行转账时,需要把私钥信息或地址信息传输给其他App。大部分钱包App此时的策略是通过Android系统的剪贴板作为数据的传输媒介,这样做真的安全吗?答案是:不安全。

(Android系统剪贴板框架)

Android系统里的所有App都可以通过系统剪贴板进行复制、粘贴,而存储在剪贴板里的数据,所有的App都可以访问。一个App只要通过系统自带的接口,注册一个监听事件,当有新的数据存储到剪贴板时,这个App就能第一时间知道复制的数据是什么。

(注册剪贴板监听事件函数)

试想一下,如果此时你在钱包App里复制了你的私钥数据,注册了监听事件的App就能窃取你的私钥信息。

(钱包复制私钥界面)

上图为数字钱包导出私钥界面,说明了私钥保存需要注意的一系列安全提示,由于本文旨在说明安卓系统剪贴板的安全性问题,故对可能体现具体钱包品牌特征的界面做遮蔽处理。事实上,当你选择复制私钥的似乎,就触发了剪贴板监听事件。

(窃取私钥攻击示例)

上图可见,这一事件被监听后,我们可以读取剪贴板的内容,窃取私钥,让你的资产陷入极度危险的状况。

甚至,剪贴板中的内容还可以进一步修改,比如假设你复制的是转账目标地址,这个App可以通过先清空剪贴板所有的数据,然后写一个假的转账地址到剪贴板里,这样当你通过系统的“粘贴”功能去输入转账地址时,你其实输入的已经是一个假的地址,这时候就造成了钓鱼攻击,你转账的资金就被黑客窃取了,而这一切都是在神不知鬼不觉中完成的。

本文内容由 曲速未来 安全咨询公司整理编译,转载请注明。 

(作者:曲速未来安全区,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 曲速未来安全区 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信