獵豹區塊鏈實驗室：Jaxx和Bitcoin Wallet存在安全漏洞——加密資料不翼而飛？

獵豹區塊鏈實驗室：移動區塊鏈研究實驗室警告用戶：知名加密數字貨幣錢包 Jaxx 和 Bitcoin Wallet 存在安全漏洞——加密資料不翼而飛？

近日，獵豹移動區塊鏈研究實驗室發布了一項安全警告：兩款最受歡迎的加密數字資產錢包 Jaxx 和 Bitcoin Wallet 存在安全漏洞。而這項漏洞是其在研究最近發布的加密數字貨幣錢包白皮書時發現的。

獵豹移動區塊鏈研究實驗室發現，Bitcoin Wallet 將助記詞以明文的方式存儲在系統的「/data/data/com.bitcoin.mwallet 」文件中的，而這很容易被黑客黑掉。同時，獵豹移動區塊鏈研究實驗室他們在 Jaxx 的數據備份機制中發現了重大的安全漏洞，黑客很輕易就能盜取 Jaxx 中的私鑰並破解其私鑰數據文件。

獵豹移動區塊鏈研究實驗室的研發部主管李偉稱：「如果一個錢包設計得不好，用戶就會面臨私鑰遺失或被盜的風險。我們警告用戶，一定要知道使用某些錢包的風險，並採取措施來保護自己的數字資產。」

Bitcoin Wallet 和 Jaxx Blockchain Wallet 存在如下安全漏洞：

Bitcoin Wallet 將助記詞以明文的方式存儲於手機的運行系統中。這一點是非常不安全的，因為系統本身是非常複雜的，且充滿了各種安全漏洞，很容易就被破解。例如：有些 APP 能夠利用漏洞繞開安全防禦壁壘拿到系統的 ROOT 許可權。而只要你的手機里有這種 APP，黑客就能輕易獲取你 Bitcoin Wallet 中的助記詞。更可怕的是，即使沒有應用 ROOT 許可權，只需將手機的充電埠連接到黑客控制的設備上，黑客就能獲取 Bitcoin Wallet 的助記詞和私鑰，使導致用戶的數字資產面臨隨時被盜的風險。

對於 Jaxx 來說，要想盜取存儲在其錢包里的數字資產只需要簡單的兩步：1. 獲取私鑰數據文件 2. 解密私鑰數據文件。

獲取私鑰數據文件

黑客可以利用以下兩種方法來獲取 Jaxx 的私鑰數據文件：

1. 如果黑客控制住一個用戶的手機，就可以他們就能利用安卓的備份機制，諸如 adb backup 命令或BackupManagerService 提供的 API，來獲取用戶的私鑰數據文件，將其存儲到手提電腦等未加密的設備上。這種安全漏洞之所以存在，是由於Jaxx 的開發團隊忘記關閉安卓APP後台的「 android:allowBackup 」參數。

2. 黑客還可以通過系統漏洞，繞過系統的安全屏障，獲取私鑰文件。

解密私鑰數據文件

在解密方面，Jaxx 使用 AES 演算法對私鑰數據文件進行加密處理。如果密鑰的長度滿足一定條件且演算法正常使用，那麼 AES 加密以後的文件基本上是不可被破解的。然而，Jaxx 團隊犯了一個重大的錯誤，直接將加密的演算法編入 APP 的代碼中，而不是按照安全規則隨機產生的。這樣的話，黑客一旦掌握私鑰加密文件，便可以順著 AES 加密參數輕易地破解它們，從而盜取所有在錢包里的私鑰。由於 Jaxx 的安全系統沒有使用正確的安全設計理論，導致它的用戶面臨著極高的資料外泄風險。

關於獵豹移動

獵豹移動 2014 年 5 月在紐約證券交易所上市。它是一個具有全球化視野、全球領先的移動互聯網公司。通過移動應用工具清潔大師、和獵豹硬碟、博弈遊戲 Piano Tiles2 和直播產品 Live.Me，獵豹它的月度活躍數達到了數億。它為其廣告客戶，包括直接廣告商和移動廣告商，提供一個可以直接獲取關鍵移動用戶的平台，並為其提供內容發布渠道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！