來捋一捋那些和我們息息相關的安全問題
作者:木沐
出品:白話區塊鏈(ID:hellobtc)
封面: Photo by Shubham's Web3 on Unsplash
資產安全一直以來都是加密行業老生常談的重要話題,然而根據白話區塊鏈觀察,儘管經常做安全科普,但真正關注安全問題的並不多,因為很多人普遍的心態是:“這完全是概率事件,輪不上我這「仨瓜倆棗」”,反而往往卻認為比這概率更低的彩票中獎一定會輪到自己。
事實上,隨著加密資產的主流化,針對個人用戶資產的安全事件頻發,而且不論大戶還是散戶,很多時候,這些事件就發生在我們身邊,已經不是小概率事件了。
那麼從近來最常見的個人用戶資產安全事件出發,一起來捋一捋那些和我們息息相關的安全問題吧,最首當其衝的就是:如何確保你正在用的平台和錢包 APP 是安全的?
“官方渠道” 就一定安全嗎?
大部分人都覺得確保平台和錢包 APP 安全很簡單,認准 “官方渠道” 不就行了?其實也未必……
1. 比官網更像官網的 “官網”
大家都知道找 “官網”,但以常見的主流錢包為例,你能馬上列出它們準確的官網地址嗎?馬上 “做題” 檢測:
大部分人可能會選 A 和 B,根據日常慣例,很多人會認為品牌名+.com 或者 io 後綴的才是 “具有品牌實力” 的官網,可事實上很多團隊早期都是創業小團隊起家,當時註冊的官網域名很是 “潦草”,正確答案其實是 C。
還是同樣的原因,這些錢包官方團隊起家時可能連商標都沒有考慮註冊……然後品牌商標被別人搶注了,接著別人拿著商標就可以在某些搜索引擎上購買品牌保護服務,在搜索結果上打上 “品牌官方” 的認證標籤,或者購買推廣服務,永遠排在前面,這就極具迷惑性了,這個事也就發生在前兩年。至今在某些主流搜索引擎搜索 “xxx 錢包官網” 前幾頁結果大概率都是假貨。
這些比官網還官網的 “官網”,著實 “坑” 了不少人,因為對於黑客來說也是成本較低、成功率較高的方式之一。
2. 知道官網地址又如何?
很多人覺得,確保輸入正確的官方域名,下載的 app 一定是安全的。不過,依然還是會出事。這不近期的 Bitkeep 錢包安全事故中,BitKeep 發佈公告稱,經過團隊初步排查,疑似部分 APK 包下載被黑客劫持,安裝了被黑客植入代碼的包。
簡單的說,就是部分用戶下載的 APK 包過程中被黑客 “劫持”,下載成了黑客特殊加工過的 “錢包” 進行安裝,我們暫且把它納入一個非官方 “假錢包” 行列吧。
公告提到的主要原因是 “劫持”,由於 “劫持” 方法和環節眾多,目前暫不清楚是什麼環節出的問題,但我們可以聊聊黑客通常是怎樣讓一個用戶明明輸入的是 “官網” 域名,卻下載到假錢包的:
第一種,本地 Localhost 文件動手腳
本地 PC 設備被誘導或者通過漏洞安裝了惡意軟件、病毒後,通過修改本地主機 Localhost 文件,這種方法可將指定的域名直接指向非官方服務器的 IP(比如黑客準備的 “官方” 頁面),也就是說,瀏覽器打開後,輸入準確的域名,訪問的去卻是黑客提供的網站,下載的也是假 APP。
第二種,直接在本地瀏覽器或 App 打開的頁面動手腳
當你打開某些平台網站、錢包網頁時,通過瀏覽器插件直接修改特定網頁展示的內容,例如將 APP 下載按鈕指向的 APP 下載鏈接地址替換成黑客準備的地址、將資產充提地址替換成黑客的,也可以讀取和修改剪貼板中的錢包地址或者私鑰。至於瀏覽器插件是否有修改網頁的權限,這點不要擔心,因為幾乎大部分瀏覽器插件都有這樣的權限,如果你有仔細觀察的話,你會發現即便我們常用的小狐狸錢包也有這樣的權限……不久前也有因下載了頭部 CEX 的會發現即便我們常用的假 APP 導致充提地址被替換導致資產丟失的事件發生。
第三種、遠程 DNS 劫持、域名解析記錄修改、APP 廠商服務器被黑
這種屬於遠程互聯網服務商的問題了,很少出現,成本和難度係數也非常高,但確實出現過,也是通過類似 “投毒” 的方式,讓你訪問的域名解析到黑客的地址。另外是服務商自己的域名服務商賬戶被盜導致域名解析被修改等均可能造成輸入官方網址,卻進入黑客網站的情況。另外 APP 廠商自己被黑那就沒話說了,這些都是我們無法左右的情況。
白話區塊鏈的安全提示
在得知黑客連官網都能劫持,就不得不感嘆 “防不勝防” 了,那如何是好?實際上這些安全問題並不僅僅存在加密領域中,進入數字化時代,任何 APP 都存在安全問題,包括銀行、第三方支付 APP 都存在不少假 “APP” 的現象,因此我們結合過去的經驗總結了一些對應的安全防範提示供大家參考:
1. 使用 HTTPS 防劫持
輸入正確官方域名時,務必在域名開頭加上 https:// ,它的作用很大,打開網址時,如果有本地劫持、遠程 DNS 劫持風險,通常瀏覽器地址欄上方會有 “不安全” 的紅色警示以及頁面安全隱患等多種警示,具體原理就不展開了,簡單的說這也是非對稱加密的一個廣泛應用之一,用於防劫持,通過加密簽名的不對稱驗證來確保訪問的是官方提供的網頁。
這裡插一句題外話,事實上很多項目方的網站,甚至 DeFi 網站都沒有使用或者強制使用 Https 來部署網站,這完全說不過去,很難感受到團隊上心的態度和專業度。
2. 檢查 APK 文件哈希
由於某些特殊原因,國內安卓手機用戶無法直接通過 GooglePlay 下載 APP,只能下載 APK 安裝包,而大部分假 APP 安全事件就出在 APK 被替換、下載了假 APK 的問題上,那麼就我們就一定要確保 APK 是官方提供的才行。
首先用 Https 打開官網後,進入下載頁面,細心的同學可能會看到一些下載頁面通常會有一個 “驗證應用安全性” 或者 SHA256 等字樣鏈接,預計 80% 的人不會看安全提示,90% 的人沒有點開驗證鏈接查看過裡面的內容並進行驗證…
點開安全驗證鏈接或者 SHA256 鏈接後,我們會看到官方公佈的 APK 安裝包文件對應的哈希值(如果文件有任何修改,哈希值將徹底改變),我們在下載 APK 文件後,計算它的哈希值與官方公佈的一致,就可以說明文件沒有被替換掉。
下載 APK 後,關鍵的一步來了,打開谷歌旗下的 virustotal.com 查毒網站,上傳剛剛下載 APK 文件,我們可以獲得這個文件的哈希值進行對比的同時通過數十個病毒庫以及進行檢索這個文件是否攜帶惡意代碼等情況,可以說是一箭雙雕的神器。
最後,如果要再再嚴謹一點,也要注意打開官網下載頁面時擔心哈希值和下載鏈接被本地病毒、插件同時篡改,那麼可以通過手機等不同環境瀏覽器二次確認哈希值是否一致。
假如,你準備下載的錢包官網下載頁面不支持 Https,你首先要懷疑的是這是不是真的官網,另外如果不提供 APK 文件哈希值核對,同樣你可以懷疑這個錢包團隊對安全性的嚴謹態度,出現如此疏漏是非常不應該、不負責任的,請謹慎考慮是否要使用該 APP。
3. 如何檢查當前安裝的平台、錢包 APP 是否安全?
事實上,最好的方法就是通過官網的下載頁面進入安卓的 Google Play、IOS AppStore 下載安裝,因為理論上谷歌和蘋果應用商店的安全係數比錢包官方的安全係數高太多了,它們平台具有世界頂尖級別的安防軟硬件和人才儲備,錢包或者平台和它們比起來完全不是一個量級的。
因此通過錢包、平台官網下載頁面打開 GooglePlay、 AppStore 頁面,再次確認開發者公司名稱、下載量、評論量(主流錢包這些量很大)沒有問題的情況下,此時我們可以認為下載的 APP 是安全的。
如果當前設備正在使用的 apk 包安裝應用不確定是否安全,可以按照前面 2 個安全提示的方法,確定官方並驗證哈希以後下載到手機覆蓋安裝即可,不過千萬不要忘了先備份好助記詞,以防覆蓋過程出錯導致丟失數據無法恢復錢包(不過一般覆蓋安裝或者更新應用不會導致數據丟失)。
4. 關於錢包安全的其它建議
如果不用冷錢包、硬件錢包,喜歡熱錢包的朋友,最安全的是 iphone 設備安裝,一來只需要一個海外 ID 不需要安卓這樣的各種折騰,二來 iPhone 鎖定後加密數據沒有密鑰無法解鎖。
海外很多主流 APP(比如 Metamask)都是不支持 APK 單獨下載安裝的,就是因為安全問題太多,但很多廠商為了拉新迫於無奈、安卓用戶太龐大等原因才開放 APK 下載,安卓如果要繞開 APK 問題,需要谷歌服務框架(含 Google Play)、谷歌密碼驗證器這些必備軟件,現階段因為某些原因已經非常難安裝了,很多人找的第三方解決方案來源本身就非官方可能也不安全,也不夠嚴謹。
當然一定要用安卓手機,可以選擇一些目前尚且還原生支持谷歌全家桶框架的廠商,比如三星,另外將錢包安裝到支持安全芯片隔離的安全文件夾的設備可以成為第二重安全保障,可以達到和蘋果手機一樣丟失後無法解鎖獲取敏感數據的額外安全效果。
5、關於平台 APP 的建議
由於大部分平台 CEX 都採用了多重驗證,不太受假 APP 的影響(對黑客來說難度係數較高),但也要注意確認 APP 中的充提地址是否與官網頁面提供的一致,另外一定要開啟平台內的 “白名單” 功能,只能將資產提到安全的白名單地址。
另外,平台 CEX 面臨最大的風險除了前文中的兩個本地劫持修改充提地址外,就是釣魚了,因為大多數人的 APP、短信、谷歌驗證器,實際上是安裝在同一設備上的,這就造成了,黑客只要控製或者監聽一台設備,即可大概率掌控你這三個信息進而操控你的平台資產。
因此安全起見不是非常建議一個設備同時操作多重驗證,可以把谷歌驗證器安裝在另一台安全手機上,也可以不在手機上安裝 app 而通過在 PC 或者 PC 網頁端操作平台賬戶,這樣可以防止單點 “爆破”,最大限度保護資產安全。
小結
安全無小事,白話區塊鏈認為安全問題值得每天講、是時時刻刻講,在日常操作過程中,或許只需要多 1 秒鐘時間留意這些細節,就能夠做到為資產提升 99% 安全的可能性,何樂而不為?
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
