中新网2月24日电加密数字货币资产的安全性完全建立在加密数字钱包私钥的安全性上,加密数字钱包是唯一的数字资产凭证。因为私钥一旦创建,就不能修改和重置。只要私钥不丢失,资产就不会丢失。因此,加密数字资产的整个安全主题都围绕着私钥的存储和使用。目前对于手机钱包使用的轻钱包模式,用户终端私钥存储的安全性是一个非常核心和关键的问题。设计不当可能导致私钥丢失和资产被盗。
基于猎豹移动公布的《2018全球加密数字货币钱包安全白皮书》的内容,我们首先分析了市面上数字钱包产品的私钥存储安全性,发现比特币钱包和Jaxx区块链钱包在私钥存储方面存在巨大的安全漏洞。
比特币钱包是一款非常著名的比特币钱包,安装用户超过50万,口碑很好。但在分析过程中发现,比特币钱包助记符以明文形式存储在系统的/data/data/com . Bitcoin . mwallet/files/profile文件中。
也就是说,比特币钱包已经完全把资产的安全性交给了系统来保护,但是我们知道系统本身非常复杂,充满了各种安全漏洞,所以我们只要利用一个漏洞就可以瞬间获得比特币钱包钱包的助记符和私钥。举个例子,只要你手机里的任何一个APP利用漏洞获取了系统的ROOT权限,那么这个APP就可以瞬间获取钱包的助记符,导致数字资产随时被盗,而上述动作完全可以在后台发生,用户完全不知情;更可怕的是,即使没有ROOT权限的应用,只要将手机的充电口连接到黑客控制的充电设备上,就可以在几分钟内获取钱包的助记符,导致数字资产随时被盗。
根据猎豹移动提供的白皮书,存储在用户设备中的私钥/助记符必须使用安全加密方法进行加密。作为知名的数字钱包,比特币钱包因未能正确加密用户设备中存储的私钥/助记符,导致超过50万用户面临极大的安全风险。
Jaxx是另一个著名的移动加密货币钱包,它的功能非常多,包括支持多种货币类型,以及最近增加的数字货币兑换平台,允许用户在钱包中兑换比特币、以太坊和ERC20令牌。
在检查Jaxx的数据备份机制时,我们发现了一个重大的安全漏洞,比比特币钱包还严重。事实上,存储在Jaxx中的私钥可以被黑客不费吹灰之力窃取。
要获取JAXX的私钥文件,需要完成两个步骤:1)获取存储私钥的数据文件;2)解密存储私钥的数据文件。
1、获取存储私钥的数据文件
我们有两种方法来获取存储私钥的数据文件:
1)利用系统的备份机制,可以通过BackupManagerService提供的adb备份命令或API获取JAXX存储私钥的数据文件。这种安全漏洞是由于JAXX开发团队忽略了Android APP的重要安全设置参数android:allowBackup的使用,没有正确设置Android 3360AllowBackup参数,从而导致安全漏洞。在猎豹移动发布的《2018加密货币数字钱包安全白皮书》中,数据备份的安全风险是一个容易被忽视的内容。
2)利用系统漏洞,绕过系统的安全边界,获取用于存储私钥的数据文件。
步骤2:解密存储私钥的数据文件。
JAXX通过AES算法对存储私钥的数据文件进行加密。当密钥长度满足一定条件,算法正常使用的情况下,AES加密的文件基本不可能被破解。但是JAXX团队在使用AES加密算法上犯了一个大错误,没有正确使用AES加密算法。JAXX的AES加密中使用的密钥参数是硬编码在代码中的,而不是按照一定的安全规则随机生成的,这就导致了简单的逆向分析能力得到AES加密参数,然后解密存储私钥的数据文件的内容。下图显示了JAXX产品中使用的固定AES加密参数:
完成以上两个步骤后,JAXX wallet的私钥文件就很容易被攻击者获取,并且很容易被解密。
到目前为止,JAXX已经有超过10万的用户在使用,最新的更新也增加了对交换的支持,可见用户对JAXX的喜爱程度还是很高的。但是由于没有使用正确的安全设计理论,JAXX的10万用户已经处于非常高的安全风险之中。
猎豹移动发
