展示柜货号:未知 怎样确保你正正在用的平台和钱包APP是平和的?
资产安全一直以来都是加密行业老生常谈的重要话题,然而根据白话区块链观察,尽管经常做
,但真正关注安全问题的并不多,因为很多人普遍的心态是:“这完全是概率事件,轮不上我这「仨瓜俩枣」”,反而往往却认为比这概率更低的彩票中奖一定会轮到自己。
事实上,随着加密资产的主流化,针对个人用户资产的安全事件频发,而且不论大户还是散户,很多时候,这些事件就发生在我们身边,已经不是小概率事件了。
大部分人都觉得确保平台和钱包APP安全很简单,认准“官方渠道”不就行了?其实也未必……
大家都知道找“官网”,但以常见的主流钱包为例,你能马上列出它们准确的官网地址吗?马上“做题”检测:
,接着别人拿着商标就可以在某些搜索引擎上购买品牌保护服务,在搜索结果上打上“品牌官方”的认证标签,或者购买推广服务,永远排在前面,这就极具迷惑性了,这个事也就发生在前两年。至今在某些主流搜索引擎搜索“xxx钱包官网”前几页结果大概率都是假货。
这不近期的Bitkeep钱包安全事故中,BitKeep发布公告称,经过团队初步排查,疑似部分APK包下载被黑客劫持,安装了被黑客植入代码的包。
公告提到的主要原因是“劫持”,由于“劫持”方法和环节众多,目前暂不清楚是什么环节出的问题,但我们可以聊聊黑客通常是怎样让一个用户明明输入的是“官网”域名,却下载到假钱包的:
本地PC设备被诱导或者通过漏洞安装了恶意软件、病毒后,通过修改本地主机Localhost文件,这种方法可将指定的域名直接指向非官方服务器的IP(比如黑客准备的“官方”页面),也就是说,浏览器打开后,输入准确的域名,访问的去却是黑客提供的网站,下载的也是假APP。
当你打开某些平台网站、钱包网页时,通过浏览器插件直接修改特定网页展示的内容,例如将APP下载按钮指向的APP下载链接地址替换成黑客准备的地址、将资产充提地址替换成黑客的,也可以读取和修改剪贴板中的钱包地址或者私钥。
点不要担心,因为几乎大部分浏览器插件都有这样的权限,如果你有仔细观察的话,你会发现即便我们常用的小狐狸钱包也有这样的权限……不久前也有因下载了头部CEX的会发现即便我们常用的假APP导致充提地址被替换导致资产丢失的事件发生。
这种属于远程互联网服务商的问题了,很少出现,成本和难度系数也非常高,但确实出现过,
另外是服务商自己的域名服务商账户被盗导致域名解析被修改等均可能造成输入官方网址,却进入黑客网站的情况。另外APP厂商自己被黑那就没话说了,这些都是我们无法左右的情况。
在得知黑客连官网都能劫持,就不得不感叹“防不胜防”了,那如何是好?实际上这些安全问题并不仅仅存在加密领域中,进入数字化时代,任何APP都存在安全问题,包括银行、第三方支付APP都存在不少假“APP”的现象,因此我们结合过去的经验总结了一些对应的安全防范提示供大家参考:
具体原理就不展开了,简单的说这也是非对称加密的一个广泛应用之一,用于防劫持,通过加密签名的不对称验证来确保访问的是官方提供的网页。
首先用Https打开官网后,进入下载页面,细心的同学可能会看到一些下载页面通常会有一个“验证应用安全性”或者SHA256等字样链接,预计80%的人不会看安全提示,90%的人没有点开验证链接查看过里面的内容并进行验证…
我们可以获得这个文件的哈希值进行对比的同时通过数十个病毒库以及进行检索这个文件是否携带恶意代码等情况,可以说是一箭双雕的神器18新利网址app。
假如,你准备下载的钱包官网下载页面不支持Https,你首先要怀疑的是这是不是真的官网,另外如果不提供APK文件哈希值核对,同样你可以怀疑这个钱包团队对安全性的严谨态度,出现如此疏漏是非常不应该、不负责任的,请谨慎考虑是否要使用该APP。
事实上,最好的方法就是通过官网的下载页面进入安卓的 Google Play、IOS AppStore 下载安装,
,它们平台具有世界顶尖级别的安防软硬件和人才储备,钱包或者平台和它们比起来完全不是一个量级的。因此通过钱包、平台官网下载页面打开GooglePlay、 AppStore页面,再次确认开发者公司名称、下载量、评论量(主流钱包这些量很大)没有问题的情况下,此时我们可以认为下载的APP是安全的。
,不过千万不要忘了先备份好助记词,以防覆盖过程出错导致丢失数据无法恢复钱包(不过一般覆盖安装或者更新应用不会导致数据丢失)。
,一来只需要一个海外ID不需要安卓这样的各种折腾,二来iPhone锁定后加密数据没有密钥无法解锁。
,就是因为安全问题太多,但很多厂商为了拉新迫于无奈18新利网址app、安卓用户太庞大等原因才开放APK下载,安卓如果要绕开APK问题,需要谷歌服务框架(含Google Play)、谷歌密码验证器这些必备软件,现阶段因为某些原因已经非常难安装了,很多人找的第三方解决方案来源本身就非官方可能也不安全,也不够严谨。
比如三星,另外将钱包安装到支持安全芯片隔离的安全文件夹的设备可以成为第二重安全保障,可以达到和苹果手机一样丢失后无法解锁获取敏感数据的额外安全效果。
由于大部分平台CEX都采用了多重验证,不太受假APP的影响(对黑客来说难度系数较高),
因为大多数人的APP、短信、谷歌验证器,实际上是安装在同一设备上的,这就造成了,黑客只要控制或者监听一台设备,即可大概率掌控你这三个信息进而操控你的平台资产。
可以把谷歌验证器安装在另一台安全手机上,也可以不在手机上安装app而通过在PC或者PC网页端操作平台账户,这样可以防止单点“爆破”,最大限度保护资产安全18新利网址app。
安全无小事18新利网址app,白话区块链认为安全问题值得每天讲、是时时刻刻讲,在日常操作过程中,或许只需要多1秒钟时间留意这些细节,就能够做到为资产提升99%安全的可能性,何乐而不为?
