位於美國舊金山一家網路安全公司High-Tech Bridge SA最近對於在Google Play能夠下載、同時也最受歡迎的手機加密貨幣錢包應用程式的安全性做了測試,結果發現超過90%的應用程式在安全性上有很大的疑慮,處於可能隨時會被輕易攻破的狀態。
為執行該測試,High-Tech Bridge使用他們的免費在線服務Mobile X-Ray來執行動態、靜態和交互式測試,或針對包括OWASP Mobile Top 10在內的各種漏洞和弱點執行移動應用程序,並分析對用戶隱私的潛在風險。
該公司從Google Play 的財經類別中選取了最受歡迎的加密貨幣手機錢包應用程式,並針對可能危及用戶的設備中存儲的數據或通過網絡發送/接收的安全缺陷和設計缺陷進行了測試。
然而,針對Google Play上超過2,000個加密幣手機應用程式作分析的結果發現,在前30個加密幣應用程式中,安裝總數高達十萬次的軟體中,其中的93%應用程式中有包含三個「中等風險」漏洞,90%包含至少兩個「高風險」的漏洞問題。另外,安裝次數達到五十萬次的應用程式有94%包含至少三個中等風險漏洞,77%至少包含兩個高風險的漏洞。
根據分析結果,最常見的漏洞問題有兩項:一、不安全的數據存儲。二、加密技術仍不充足。前者將造成私人資訊可能在無意中洩露出去;後者則會使部分用遮蔽數據的加密技術的形式遭致錯用的情形。這些漏洞都意味著:加密幣應用程式使用者的資訊安全處於險境中。
「根據加密幣手機應用程式功能的差異,其設計方式與漏洞也各有所不同,因此可能處於各種不同的資訊不安全的情況之中。一些隱密的數據或者甚至是加密錢包(私鑰)也可能存在被盜取的風險。」High-Tech Bridge的執行長兼創辦人Ilia Kolochenko表示。
對此調查結果,Kolochenko並未感到訝異,他認為應該歸咎於在手機應用程式開發缺乏安全性之重視。他提到,多年以來,網路安全公司和獨立專家都著重在開發手機應用程式的實用性及便利性;也就是說,手機應用程式的開發通常未經過安全設計的確保、安全編碼以及強化安全技術或應用的程序框架。這樣一來,在加密幣錢包手機應用程式牽扯到金錢取得時,便很有可能產生問題。
High-Tech Bridge報告寫道:「這個測試分析只能看到應用程式的前端,而後端可能還隱藏著其他問題。」
區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。
