猎豹区块链实验室：Jaxx和Bitcoin Wallet存在安全漏洞——加密资料不翼而飞？

鲸译海外 • 2018-03-01 18:42

猎豹区块链实验室：移动区块链研究实验室警告用户：知名加密数字货币钱包 Jaxx 和 Bitcoin Wallet存在安全漏洞——加密资料不翼而飞？

近日，猎豹移动区块链研究实验室发布了一项安全警告：两款最受欢迎的加密数字资产钱包 Jaxx 和Bitcoin Wallet 存在安全漏洞。而这项漏洞是其在研究最近发布的加密数字货币钱包白皮书时发现的。

猎豹移动区块链研究实验室发现，Bitcoin Wallet将助记词以明文的方式存储在系统的“/data/data/com.bitcoin.mwallet ”文件中的，而这很容易被黑客黑掉。同时，猎豹移动区块链研究实验室他们在 Jaxx 的数据备份机制中发现了重大的安全漏洞，黑客很轻易就能盗取 Jaxx 中的私钥并破解其私钥数据文件。

猎豹移动区块链研究实验室的研发部主管李伟称：“如果一个钱包设计得不好，用户就会面临私钥遗失或被盗的风险。我们警告用户，一定要知道使用某些钱包的风险，并采取措施来保护自己的数字资产。”

Bitcoin Wallet 和 Jaxx Blockchain Wallet 存在如下安全漏洞：

Bitcoin Wallet 将助记词以明文的方式存储于手机的运行系统中。这一点是非常不安全的，因为系统本身是非常复杂的，且充满了各种安全漏洞，很容易就被破解。例如：有些 APP 能够利用漏洞绕开安全防御壁垒拿到系统的 ROOT 权限。而只要你的手机里有这种 APP，黑客就能轻易获取你 Bitcoin Wallet 中的助记词。更可怕的是，即使没有应用 ROOT 权限，只需将手机的充电端口连接到黑客控制的设备上，黑客就能获取 Bitcoin Wallet 的助记词和私钥，使导致用户的数字资产面临随时被盗的风险。

对于 Jaxx 来说，要想盗取存储在其钱包里的数字资产只需要简单的两步：1. 获取私钥数据文件2. 解密私钥数据文件。

获取私钥数据文件

黑客可以利用以下两种方法来获取 Jaxx 的私钥数据文件：

1. 如果黑客控制住一个用户的手机，就可以他们就能利用安卓的备份机制，诸如 adb backup 命令或BackupManagerService 提供的 API，来获取用户的私钥数据文件，将其存储到手提电脑等未加密的设备上。这种安全漏洞之所以存在，是由于Jaxx的开发团队忘记关闭安卓APP后台的“ android:allowBackup ”参数。

2. 黑客还可以通过系统漏洞，绕过系统的安全屏障，获取私钥文件。

解密私钥数据文件

在解密方面，Jaxx 使用 AES 算法对私钥数据文件进行加密处理。如果密钥的长度满足一定条件且算法正常使用，那么 AES 加密以后的文件基本上是不可被破解的。然而，Jaxx 团队犯了一个重大的错误，直接将加密的算法编入 APP 的代码中，而不是按照安全规则随机产生的。这样的话，黑客一旦掌握私钥加密文件，便可以顺着 AES 加密参数轻易地破解它们，从而盗取所有在钱包里的私钥。由于 Jaxx 的安全系统没有使用正确的安全设计理论，导致它的用户面临着极高的资料外泄风险。

关于猎豹移动

猎豹移动 2014 年 5 月在纽约证券交易所上市。它是一个具有全球化视野、全球领先的移动互联网公司。通过移动应用工具清洁大师、和猎豹硬盘、博弈游戏 Piano Tiles2 和直播产品 Live.Me，猎豹它的月度活跃数达到了数亿。它为其广告客户，包括直接广告商和移动广告商，提供一个可以直接获取关键移动用户的平台，并为其提供内容发布渠道。（文：Tracy）

【本篇文章属于白鲸出海原创，如需转载：1、网站端请注明出处，并在文章中附带白鲸出海原文链接。2、微信公号及其他自媒体平台需联系授权方可，未经授权严禁转载！】

友情提醒：白鲸出海目前仅有微信群与QQ群，并无在Telegram等其他社交软件创建群，请白鲸的广大用户、合作伙伴警惕他人冒充我们，向您索要费用、骗取钱财！