流行的加密货币移动应用程序安全吗?

网络安全公司 High-Tech Bridge, 编制了一份报告 关于一些最流行的加密货币应用程序的安全性。 截至 2017 年 11 月,加密货币的总价值超过 3000 亿美元,比特币本身每枚硬币价值 10,000 美元,因此它是小偷的主要目标。

加密货币应用程序有什么作用?

风险最大的应用是钱包。 钱包是您存储加密货币的地方,也是您发送和接收加密货币的地方。 虽然可以使用本地钱包,但许多人选择使用在线钱包以方便使用。 本地钱包比在线钱包更安全,但它没有与在线钱包相同的可访问性。

Coinbase 是最受欢迎的加密货币应用程序之一,它允许您在应用程序内购买和存储比特币、以太坊和莱特币。

报告中的“安全”怎样界定?

High-Tech Bridge 使用自己的“Mobile X-Ray”服务测量每个应用程序的安全性,该服务对应用程序执行动态、静态和交互式测试。

Mobile X-Ray 服务使用 OWASP Mobile Top 10 作为其标准。 OWASP 是一个 AppSec(应用程序安全)组织,负责协作并确定开发人员应用程序安全面临的最大风险。

结果怎样?

High-Tech Bridge 没有提及任何具体名称,但它确实对困扰 Play 商店中的加密货币应用程序的更广泛问题进行了细分。

对于下载量高达 10 万的前 30 个应用程序,High-Tech Bridge 发现惊人的 93% 的应用程序包含至少 3 个中等风险的漏洞。 更令人担忧的是,90% 的应用程序至少包含 2 个高风险漏洞。

87% 的加密货币应用程序容易受到中间人攻击,这意味着有价值的数据可能会被第三方拦截。 对于那些使用在线加密货币钱包应用程序的人来说尤其令人担忧。

80% 的应用程序通过 HTTP 使用任何类型的加密发送潜在的敏感数据。 再次,使某人可以轻松拦截和阅读信息。 37% 的应用程序使用非常弱的加密发送数据。 还发现没有任何应用程序具有针对逆向工程的保护。

在这部分应用程序中发现的最常见漏洞是平台使用不当、密码学不足和数据存储不安全。 对于更广泛使用的应用程序,它并没有变得更好。 下载量超过 50 万的前 30 个应用程序中存在至少三个中等风险漏洞的应用程序的比例更高,达到 94%。 至少有两个高风险漏洞的应用程序数量下降到 77%,仍然是一个非常高的数字。

在密码学方面,有一些改进,66% 的应用程序在没有任何加密的情况下通过 HTTP 发送潜在的敏感数据,低于不太流行的应用程序中的 80%。 还发现 50% 的应用程序正在发送具有弱加密的潜在敏感数据。

同样,这部分应用程序中最常见的漏洞是平台使用不当、密码学不足和数据存储不安全。

敏捷开发的兴起以及它怎样影响安全性

敏捷开发用于帮助轻松打破开发周期并允许部门之间轻松协作。 它允许不断更新和快速的开发周期。 开发人员和公司失败的地方是在他们的 Sprint 中实施足够的时间来确保安全。

如果在应用程序开发中没有足够的时间和资源专门用于安全性,那么您就会遇到本报告显示的不安全应用程序。 这些失败是 OWASP 存在的原因,以帮助人们了解不仅在移动设备上发现的最常见和最具破坏性的漏洞,而且在所有平台上都普遍存在。

加密货币应用程序有多安全? 不是特别的

这份报告揭示了这些加密货币应用程序开发人员的失败之处,但他们的许多用户甚至不太可能知道他们使用的应用程序中存在的不安全感。 这适用于 Play Store 上的大多数应用程序,不要相信带有机密信息的随机应用程序。

结论: 如果您正在寻找安全存储加密货币的地方,请不要使用移动应用程序。