慢雾发布iCloud用戶的MetaMask钱包遭遇钓鱼攻击简析。称首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMaskiOSApp端本身就存在有安全缺陷。
法国财长勒梅尔:对俄罗斯的制裁领域将包括加密货币:3月3日消息,法国财长勒梅尔:欧盟财政部长们同意加强对俄罗斯的制裁。对俄罗斯的制裁领域将包括加密货币。欧盟领导人之间有一个很大的共识,即加密货币在制裁俄罗斯方面不能被忽视,不应该成为漏洞。(金十)[2022/3/3 13:33:21]
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。
动态 | 法国将鼓励其他欧盟国家采用其加密货币法规:据路透社报道,法国经济和财政部长Bruno Le Maire表示,法国将鼓励其他欧盟国家采用类似于该国上周批准的加密货币法规。据报道,新法规的目的是通过提供官方认可来吸引加密货币发行商和交易商,同时对其利润征税。加密货币运营商必须申请一项有关代币发行或代币交易平台的认证,当局还将监督企业的计划和反(AML)保障措施。[2019/4/16]
https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17
动态 | 加密钱包 Wirex为西班牙和法国的用户推出IBAN账户:根据cryptoninjas消息,数字钱包平台Wirex今天推出了针对西班牙和法国用户的欧元账户IBAN,同时提高了账户限额。EEA的用户现在可以在他们的账户投入£15000、€16000和 $20000。Wirex联合创始人Pavel Matveev表示:“在与我们的金融合作伙伴合作之后,我们已经能够扩大我们的支付服务。我们希望为所有用户改善Wirex的体验,同时继续缩小我们的服务与传统金融平台之间的差距,目前Wirex账户包括Visa借记卡作为支付方式,上个月已经获得FCA电子货币许可证。”[2018/9/28]
MetaMaskiOS端代码中没有发现存在这类禁止钱包数据(如KeyStore文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标iCloud里恢复MetaMaskiOSApp钱包的相关数据。
慢雾安全团队经过实测通过iCloud恢复数据后再打开MetaMask钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。
iOSApp端在代码上如何避免iCloud自动备份钱包App中的数据可以参考:
https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。