加密數(shù)字錢包APP精力在迅速推出和迭代 安全性嚴重不足

記者12月17日獲悉，近日，中國信息通信研究院泰爾終端實驗室、上海交通大學網(wǎng)絡空間安全學院、上海掌御信息科技有限公司共建的區(qū)塊鏈安全研

記者12月17日獲悉，近日，中國信息通信研究院泰爾終端實驗室、上海交通大學網(wǎng)絡空間安全學院、上海掌御信息科技有限公司共建的區(qū)塊鏈安全研究中心，和中國區(qū)塊鏈應用研究中心、上海淳粹文化傳媒有限公司、杭州加密谷區(qū)塊鏈科技有限公司聯(lián)合發(fā)布《加密數(shù)字錢包APP信息安全現(xiàn)狀白皮書》。據(jù)悉，這是行業(yè)內(nèi)首次采用公開、合法的信息，運用科學的研究方法，對當前加密數(shù)字錢包行業(yè)相關(guān)移動應用(APP)做出的信息安全分析評判。

據(jù)劍橋大學統(tǒng)計，全球數(shù)字資產(chǎn)錢包用戶2018年已經(jīng)達到了3500萬，比2016年增長了三倍有余。各大錢包廠商為了快速搶占市場，使其將精力傾注于迅速推出和迭代上，而忽視了數(shù)字錢包本身的安全性。所以市面上大部分數(shù)字錢包都存在被黑客攻擊、盜幣等安全隱患。

研究團隊選擇了6款去中心化數(shù)字錢包和8款包含數(shù)字錢包功能的中心化交易平臺進行了評測。本次的評測結(jié)果表明，加密數(shù)字錢包APP仍然存在大量安全問題，特別是私鑰保護方面，實現(xiàn)安全性存在嚴重不足。另外，不同的APP安全防護水平存在較大的差別，部分防護較弱的APP可能輕易被黑客攻擊，從而造成用戶的信息泄露和財產(chǎn)損失。

白皮書在公布針對14個主流加密數(shù)字錢包的測評標準、測試方法和測評結(jié)果的同時，也提出了“加密數(shù)字錢包的私鑰使用安全最佳實踐”的五個注意事項，包括無論是否加密，錢包私鑰不能存放在服務器上;無論是否加密，錢包私鑰不能存放在外部存儲卡上;錢包私鑰不能以明文存儲在私有目錄;使用過錢包私鑰后需要及時清理內(nèi)存;錢包私鑰需要配合助記詞使用，生成助記詞過程禁止截屏。

白皮書也在三個方面，提出“加密數(shù)字錢包APP代碼安全規(guī)范”：在交易數(shù)據(jù)傳輸方法和實現(xiàn)方面，包括錢包私鑰不能通過網(wǎng)絡傳輸，不能使用HTTP明文進行數(shù)據(jù)通信，使用HTTPS則需要驗證證書以及綁定證書，若使用自定義協(xié)議，則需要有完善的密鑰交換協(xié)議。在服務器安全方面，服務器通過與客戶端的通信接口，應當能夠抵御常見的安全威脅。在代碼保護方面，代碼需要完整性檢查碼，代碼能夠防逆向分析，代碼能夠防進程注入。

中國信息通信研究院泰爾終端實驗室信息安全部副主任袁琦給數(shù)字錢包用戶提出三點建議，包括及時升級加密數(shù)字錢包APP，保持最新版本，防止舊版本安全漏洞遭到利用;使用專用的移動設(shè)備和移動網(wǎng)絡進行操作，并及時升級移動操作系統(tǒng);關(guān)注權(quán)威測評機構(gòu)最新發(fā)布的加密數(shù)字錢包APP安全測試報告。

關(guān)鍵詞： 加密數(shù)字錢包 推出 安全性