研究者によって発見されたJaxx&Bitcoin.comウォレットの脆弱性

Cheetah Mobileと呼ばれる中国の会社は、2つの人気のある暗号通貨ウォレットの脆弱性を見つけることができたブロックチェーン研究部門を持っています.

問題のウォレットは、Bitcoin.comとJaxxBlockchainウォレットです。 Cheetah mobileは、ウォレット開発者に脆弱性について知らせるために連絡を取りました。これは、「SafeWallet」と呼ばれるチーター独自のビットコインウォレットのリリースと同時に行われました。.

開示が実際に真実である場合、これは非常に深刻な脆弱性であったに違いありません。これらのウォレットは間違いなく市場で最も人気のあるもののいくつかであり、世界中の何百万ものユーザーによって使用されています.

では、脆弱性とは正確には何であり、どの程度のリスクがありましたか?

Bitcoin.comウォレット

Bitcoin.comウォレットの場合、ニーモニックシードフレーズは保存される前に暗号化されていませんでした。それらはプレーンテキストバージョンとして次のディレクトリに保存されました。/data/data/com.bitcoin.mwallet」。このファイルは電話のオペレーティングシステムに存在するため、ローカルです.

このシードフレーズにアクセスするために必要なのは、悪意のあるアプリケーションが「ルートアクセス」を取得しようとすることだけです。これは、電話のファイルの多くに特権的にアクセスできることを意味します.

したがって、攻撃者が知る必要があるのは、誰かが通常のビットコインユーザーであり、選択したウォレットがBitcoin.comのものであることだけです。彼らは、ハッカーにルートアクセスを許可し、それによってシードワードを取得できる悪意のあるアプリケーションをインストールさせる可能性があります。.

今すぐIQオプション暗号通貨を取引する

暗号通貨ウォレットがどのように機能するかを知らない人のために、これらのシードワードはあなたの秘密鍵のロックを解除するために使用されます。攻撃者がこれにアクセスできるようになると、ハートビートであなたの資金を吸い上げることができます.

Jaxxブロックチェーンウォレット

Jaxxウォレットの場合、秘密鍵の保護が強化されました。キーは、データを暗号化するための最も安全な方法の1つであるAESアルゴリズムを通過しました。これは、メッセージを保護するために多くの米国政府機関でも使用されています.

ただし、Jaxx開発者が秘密鍵を適切に暗号化したとしても、AES暗号化アルゴリズムの実装はアプリケーションのコードベースにありました。これは、暗号化された秘密鍵がハッカーにとって依然として有用である可能性があることを意味します.

ハッカーは秘密鍵を復号化する方法を知っているので、別のデバイスで簡単に復号化できます。秘密鍵が効果的に復号化されたので、彼らはそれを使用してウォレットにアクセスし、資金を使い果たすことができます.

誰かがJaxxビットコインウォレットの問題を強調したのはこれが初めてではありません。たとえば、 技術 Jaxxがユーザー情報を%APPDATA%フォルダーに保存することを発見しました。このユーザー情報は、ウォレットを再認証するために必要なすべてです.

したがって、誰かがあなたのPCだけでなく、 アプリデータ フォルダーを作成すると、別のコンピューターでこれを認証して、ウォレットを再度開くことができます。このユーザーデータを使用して、彼らは効果的に取引に署名し、あなたの資金を送ることができます.

チーターウォレットとは?

チーターモバイルロゴ

wikipedia.org経由の画像

の研究者が チーターモバイル これらの脆弱性を発見し、他の開発者に開示することができたので、彼らは素晴らしいモバイルウォレットソリューションを持っていると期待できます.

CheetahMobileチームは広範なリリースを行いました 白書 ここでは、適切なモバイルウォレットを選択するための最も重要な考慮事項について詳しく説明しています。彼らはこれらのベストプラクティスの数を取り、それらを独自の独自仕様に組み込んだ SafeWallet.

SafeWalletは、「独自の3層」セキュリティ防御システムを利用しています。彼らは、ユーザーの行動、資産管理、電話のセキュリティを含む3つの主要な方法でユーザーを保護しようとしています。ウォレットは現在ビットコインとイーサリアムをサポートしており、間もなくさらに通貨がサポートされます.

興味深いことに、ウォレットには、取引手数料を最適化するアルゴリズムも含まれています。これは、ビットコインの取引手数料とイーサリアムのガス価格にあまり精通していない新しいユーザーに役立つ可能性があります.

Safewalletはまだ新しいウォレットです。つまり、大量のコインを保管するために使用するには、それ自体を証明する時間が必要です。それでも、はるかに人気のあるウォレットでの他の脆弱性に関する彼らの研究は、彼らの資格情報に追加する必要があります.

Fotolia経由の注目の画像

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me