来源/环球网
近日,中国信息通信研究院泰尔终端实验室、上海交通大学网络空间安全学院、上海掌御信息科技有限公司共建的区块链安全研究中心,和中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书》。据悉,这是行业内首次采用公开、合法的信息,运用科学的研究方法,对当前加密数字钱包行业相关移动应用(APP)做出的信息安全分析评判。
据剑桥大学统计,全球数字资产钱包用户2018年已经达到了3500万,比2016年增长了三倍有余。各大钱包厂商为了快速抢占市场,使其将精力倾注于迅速推出和迭代上,而忽视了数字钱包本身的安全性。所以市面上大部分数字钱包都存在被黑客攻击、盗币等安全隐患。
研究团队选择了6款去中心化数字钱包和8款包含数字钱包功能的中心化交易平台进行了评测。本次的评测结果表明,加密数字钱包APP仍然存在大量安全问题,特别是私钥保护方面,实现安全性存在严重不足。另外,不同的APP安全防护水平存在较大的差别,部分防护较弱的APP可能轻易被黑客攻击,从而造成用户的信息泄露和财产损失。
白皮书在公布针对14个主流加密数字钱包的测评标准、测试方法和测评结果的同时,也提出了“加密数字钱包的私钥使用安全最佳实践”的五个注意事项,包括无论是否加密,钱包私钥不能存放在服务器上;无论是否加密,钱包私钥不能存放在外部存储卡上;钱包私钥不能以明文存储在私有目录;使用过钱包私钥后需要及时清理内存;钱包私钥需要配合助记词使用,生成助记词过程禁止截屏。
白皮书也在三个方面,提出“加密数字钱包APP代码安全规范”:在交易数据传输方法和实现方面,包括钱包私钥不能通过网络传输,不能使用HTTP明文进行数据通信,使用HTTPS则需要验证证书以及绑定证书,若使用自定义协议,则需要有完善的密钥交换协议。在服务器安全方面,服务器通过与客户端的通信接口,应当能够抵御常见的安全威胁。在代码保护方面,代码需要完整性检查码,代码能够防逆向分析,代码能够防进程注入。