“超过90%的用户不知道他们的钱包是否违反了这一基于用户研究结果的分散设计原则,”研究人员说。如果一个应用违反了这个原则,它可能会给用户带来巨大的安全风险。信用:通过Pxhere实现知识共享密歇根州立大学的一名计算机科学工程师给数百万使用智能手机应用程序管理其加密货币的比特币所有者提了一个建议:不要。或者至少,要小心。来自MSU的研究人员正在开发一款移动应用程序,以保护用于管理cry货币的流行但易受攻击的“钱包”应用程序。“越来越多的人在智能手机上使用比特币钱包应用程序,”工程学院计算机科学与工程系助理教授关说。“但这些应用程序存在漏洞。”
智能手机钱包应用程序使购买和交易密码货币变得容易,这是一种相对较新的数字货币,几乎在所有方面都很难理解,除了一点:它显然非常有价值。在撰写本文时,比特币是最有价值的加密货币,一枚比特币价值超过55,000美元。
但涂和他的团队正在发现一些漏洞,这些漏洞会让用户的资金和个人信息面临风险。好消息是,该团队还通过提高对这些安全问题的认识和开发一个解决这些漏洞的应用程序来帮助用户更好地保护自己。
研究人员在为计算机器协会数据和应用安全与隐私会议发表的论文中展示了这款应用——比特币安全整流器。在提高意识方面,涂希望帮助钱包用户理解,这些应用程序可能会违反比特币的一个核心原则,即所谓的去中心化,从而使他们处于弱势。
比特币是一种不依赖于任何中央银行或政府的货币。也没有中央计算机服务器来存储所有关于比特币账户的信息,比如谁拥有多少。
“有些应用违反了这种去中心化原则,”屠呦呦说。“这些应用是由第三方开发的。而且,他们可以让他们的钱包应用程序与他们的专有服务器连接,然后连接到比特币。”
本质上,比特币安全整流器可以引入比特币通过设计省略的中间人。用户通常不知道这一点,应用程序开发人员也不一定会提供这些信息。
“超过90%的用户不知道他们的钱包是否违反了这一基于用户研究结果的去中心化设计原则,”涂说。如果一个应用违反了这个原则,它可能会给用户带来巨大的安全风险。例如,它可以为肆无忌惮的应用程序开发人员打开大门,让他们简单地拿走用户的比特币。
屠呦呦表示,用户保护自己的最好方法是不要使用不受信任的开发者开发的智能手机钱包应用。相反,他鼓励用户使用电脑(而不是智能手机)和比特币官方网站bitcoin.org上的资源来管理他们的比特币。例如,该网站可以帮助用户对钱包应用做出明智的决定。
但是,即使是由信誉良好的来源开发的钱包也可能不完全安全,这就是新应用的好处。
大多数智能手机程序都是用一种叫做Java的编程语言编写的。比特币钱包应用程序利用了一个名为bitcoinj的Java代码库,发音为“比特币jay”正如该团队在最近的论文中所展示的那样,该库本身存在网络犯罪分子可能攻击的漏洞。
这些攻击会产生各种后果,包括泄露用户的个人信息。例如,它们可以帮助攻击者推断钱包用户用来发送或接收比特币的所有比特币地址。攻击还会向用户发送大量未被注意的数据,消耗电池电量,并可能导致巨额电话费。
屠呦呦的应用被设计成与钱包同时在同一部手机上运行,并在手机上监控此类入侵的迹象。涂说,当攻击发生时,该应用程序会提醒用户,并根据攻击类型提供补救措施。例如,该应用程序可以在传出的比特币消息中添加“噪音”,以防止小偷获得准确的信息。
屠呦呦说:“我们的目标是让你能够下载我们的工具,免受这些攻击。
该团队目前正在为安卓手机开发该应用程序,并计划在未来几个月内在谷歌游戏应用商店下载。涂说,由于iOS带来的额外挑战和限制,目前还没有发布iPhone应用的时间表。
与此同时,屠呦呦强调,用户保护自己免受智能手机比特币钱包不安全影响的最好方法就是不使用比特币钱包,除非开发者可信。
他说:“我想分享的主要内容是,如果你不太了解你的智能手机钱包应用程序,最好不要使用它们,因为任何开发者——无论是恶意的还是良性的——都可以将他们的钱包应用程序上传到谷歌Play或苹果应用商店。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
