買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 火必APP > Info

APP:慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析_LOUD

Author:

Time:1900/1/1 0:00:00

慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMaskiOSApp端本身就存在有安全缺陷。

慢霧:針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息,慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認,火幣本著負責任披露信息的策略,對本次事件做以下說明:本次事件是小范圍內(4000人)的用戶聯絡信息泄露,信息種類不涉及敏感信息,不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致,相關用戶信息于2022年10月8日已經完全隔離,日本站與火幣全球站無關。本次事件由白帽團隊發現后,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待,切勿傳謠。[2023/7/1 22:12:01]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。

聲音 | 慢霧分析:Upbit 可能遭遇了 APT 攻擊:慢霧安全團隊懷疑 Upbit 被盜 34.2 萬 ETH 可能和之前一直在活動的 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。因為年初 Upbit 就發現來自朝鮮的這類攻擊行為。當然我們也不能排除內鬼可能性。此外,被盜的是 Upbit 的ETH 熱錢包。冷錢包應該暫無風險。[2019/11/27]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

聲音 | 慢霧聯合創始人余弦:警惕錢包助記詞截圖、私鑰剪切板被作惡App盜取:慢霧聯合創始人余弦今日發布微博稱,安卓的App權限控制確實很坑,一個不小心你的錢包助記詞截圖、私鑰剪切板就可能被作惡App盜取,不需要root,攻擊場景很廣、很容易。iPhone做得相對好,但也要小心剪貼板竊取。剪切板用完就應該釋放,自動釋放機制沒有,就養成個手動替換的習慣。[2019/2/16]

MetaMaskiOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標iCloud里恢復MetaMaskiOSApp錢包的相關數據。

慢霧安全團隊經過實測通過iCloud恢復數據后再打開MetaMask錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。

iOSApp端在代碼上如何避免iCloud自動備份錢包App中的數據可以參考:

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

Tags:APPASKCLOLOUDcoinbase下載appmetamaskethereumcloudGalaxy Cloud

火必APP
RICE:韓國國會議員:將加快虛擬資產立法,預計5月底相關法律整合計劃將準備就緒_如何看待虛擬資產

據CoinDeskKorea報道,韓國國會議員金炳旭在“新政府數字資產政策的問題和前景”會議開幕致辭中表示,我將加快虛擬資產法的立法,為虛擬資產提供法律依據.

1900/1/1 0:00:00
ETH:加密富翁和Greenpeace等組織發起活動呼吁社區改變比特幣交易方式_THE

據彭博社報道,加密億萬富翁ChrisLarsen和生態非政府組織Greenpeace在內的幾個氣候活動團體正在發起一項名為“改變代碼,而不是氣候”(ChangetheCode.

1900/1/1 0:00:00
DEG:最高檢四廳廳長鄭新儉:打著元宇宙等新概念的非法集資開始冒頭_YAM

最高人民檢察院第四檢察廳廳長鄭新儉最近表示,金融領域違法犯罪形勢依然復雜嚴峻,網絡借貸、私募基金、以房養老等領域的犯罪案件仍高發多發,打著元宇宙、NFT等新概念實施非法集資開始冒頭.

1900/1/1 0:00:00
BDC:國際貨幣基金組織:需要對加密貨幣進行適當的監管_PIN

據Bitcoin.com報道,國際貨幣基金組織(IMF)總裁KristalinaGeorgieva和副總裁GitaGopinath一致認為,需要對加密貨幣采取適當的監管行動.

1900/1/1 0:00:00
PIA:提供多幣種賬戶的瑞士數字銀行Alpian完成約2000萬美元B+輪融資_ITT

據Finextra報道,瑞士數字銀行Alpian完成1900萬瑞士法郎B+輪融資,Alpian由瑞士銀行集團ReylIntesaSanpaolo孵化.

1900/1/1 0:00:00
ITC:報告:雙重勒索軟件在2021年增加了近500%_Auditchain

萬事達卡旗下加密分析公司Ciphertrace近日在其官方網站上發布了勒索軟件當前趨勢報告。報告稱,雙重勒索軟件在2021年增加了近500%,比特幣仍然是勒索軟件組織的首選的支付系統,但門羅幣(.

1900/1/1 0:00:00
ads