复制私钥反被盗,地址转账反丢币,区块链C如何确保端数据的安全?最近,以太坊著名的浏览器扩展插件MetaMask隐私泄露的安全问题可能会导致用户的以太坊地址在不知情的情况下被曝光DApp事实上,开发商和其他第三方获得,MetaMask问题本质上是私有数据权限过度开放的问题,为用户体验做出了安全牺牲。类似的问题是Android App端也存在,尤其是在数字钱包和交易中心。App危害可能更大。
北京链安全专家C00lMan例如,当我们备份私钥或通过钱包地址转账时,我们需要将私钥信息或地址信息传输到其他场景App。大部分钱包App此时的策略是通过的Android系统剪贴板作为数据传输媒介真的安全吗?答案是:不安全。
(Android系统剪贴板框架)
Android系统中的一切App可通过系统剪贴板复制粘贴,所有存储在剪贴板中的数据App都可以访问App当新数据存储在剪贴板中时,只需通过系统自带的接口注册监控事件即可App您可以第一次知道复制的数据是什么。
(注册剪贴板监听事件函数)
想象一下,如果你现在在钱包里App复制您的私钥数据并注册监控事件App可以窃取你的私钥信息。
新手炒币亏(钱包复制私钥界面)
上图显示了数字钱包导出的私钥界面,解释了私钥保存中需要注意的一系列安全提示。因为本文旨在解释Android剪贴板的安全性可能会屏蔽反映特定钱包品牌特征的界面。事实上,当你选择复制私钥时,它似乎触发了剪贴板的监控。
(窃取私钥攻击示例)
从上图可以看出,这一事件被监控后,我们可以读取剪贴板的内容,窃取私钥,使您的资产极其危险。
甚至,并取得了良好的用户体验效果。
剪贴板中的内容也可以进一步修改。例如,如果您复制转账目标地址,则此App您可以先清空剪贴板的所有数据,然后在剪贴板上写一个假转账地址,这样当您通过系统时“粘贴”当功能输入转账地址时,您实际上输入了一个假地址。此时,它会造成钓鱼攻击,你的转账资金将被黑客窃取,这将在不知不觉中完成。可以看出,剪贴板在应用程序之间共享数据带来了一定的便利,但重要的数据应该通过剪贴板传输吗?如何更好地保证用户重要数据的安全和方便?
在这方面,我们实际上可以采用安全数据剪贴板的方案。
北京链安手机安全专家Zer0dMan在安全沙箱技术中,我们可以将用户复制的数据高强度加密并存储在安全容器创建的内存区域。该区域与系统剪切板隔离,只在安全沙箱中启动区块链App沙箱外的应用程序无权访问该区域。该解决方案不仅保证了用户数据的安全,
微信扫一扫