位於美國舊金山一家網路安全公司 High-Tech Bridge SA 最近對於在 Google Play 能夠下載、同時也最受歡迎的手機加密貨幣錢包應用程式的安全性做了測試,結果發現超過 90% 的應用程式在安全性上有很大的疑慮,處於可能隨時會被輕易攻破的狀態。
為執行該測試,High-Tech Bridge 使用他們的免費在線服務 Mobile X-Ray 來執行動態、靜態和交互式測試,或針對包括 OWASP Mobile Top 10 在內的各種漏洞和弱點執行移動應用程序,並分析對用戶隱私的潛在風險。
該公司從 Google Play 的財經類別中選取了最受歡迎的加密貨幣手機錢包應用程式,並針對可能危及用戶的設備中存儲的數據或通過網絡發送/接收的安全缺陷和設計缺陷進行了測試。
然而,針對 Google Play 上超過 2,000 個加密幣手機應用程式作分析的結果發現,在前 30 個加密幣應用程式中,安裝總數高達十萬次的軟體中,其中的 93% 應用程式中有包含三個「中等風險」漏洞,90% 包含至少兩個「高風險」的漏洞問題。另外,安裝次數達到五十萬次的應用程式有 94% 包含至少三個中等風險漏洞,77% 至少包含兩個高風險的漏洞。
根據分析結果,最常見的漏洞問題有兩項:一、不安全的數據存儲。二、加密技術仍不充足。前者將造成私人資訊可能在無意中洩露出去;後者則會使部分用遮蔽數據的加密技術的形式遭致錯用的情形。這些漏洞都意味著:加密幣應用程式使用者的資訊安全處於險境中。
「根據加密幣手機應用程式功能的差異,其設計方式與漏洞也各有所不同,因此可能處於各種不同的資訊不安全的情況之中。一些隱密的數據或者甚至是加密錢包(私鑰)也可能存在被盜取的風險。」High-Tech Bridge 的執行長兼創辦人 Ilia Kolochenko 表示。
對此調查結果,Kolochenko 並未感到訝異,他認為應該歸咎於在手機應用程式開發缺乏安全性之重視。他提到,多年以來,網路安全公司和獨立專家都著重在開發手機應用程式的實用性及便利性;也就是說,手機應用程式的開發通常未經過安全設計的確保、安全編碼以及強化安全技術或應用的程序框架。這樣一來,在加密幣錢包手機應用程式牽扯到金錢取得時,便很有可能產生問題。
High-Tech Bridge 報告寫道:「這個測試分析只能看到應用程式的前端,而後端可能還隱藏著其他問題。」
區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。