—
撰文 | 大掌櫃
市面上所有的硬體錢包都逃不過要與安裝在聯網裝置(熱端)上的配套應用通訊,從而實現查詢餘額、廣播交易、查詢交易等聯網操作。這裡劃今天第一個重點:配套應用只儲存地址,不儲存私鑰。
目前,主流配套應用有三類:電腦端應用(以Ledger為代表)、Web端應用(以Trezor為代表)和手機端應用(以Cobo金庫為代表)。不要小看配套應用的安全性的重要性,Ledger曾經發生過配套App端的發幣地址被替換的攻擊事件,Trezor的網頁端應用被釣魚的事件也發生過不止一次。
那麼,從安全性的角度來說,三種形式哪種最好呢?聊數字貨幣錢包之前,我們先看看傳統銀行業的做法。上了歲數的大掌櫃粉絲們都知道,十年前,我們操作“網銀”都是透過網頁來操作,一般還會用到一個身份認證的U盾。隨著手機的普及,大家現在的“網銀”操作逐漸被手機App替代。除了手機App操作更便捷這個原因以外,另一個重要原因就是手機端App更加安全。放到硬體錢包領域,同理,手機端的配套App相比電腦端或者網頁端,都更安全。
比特幣領域除了白皮書,最著名的一本書《精通比特幣》的作者Andreas曾經在採訪中表示:“(對普通人來說)你的智慧手機的安全性遠遠高於你的膝上型電腦。”
接下來,掌櫃的就來掰扯一下你的手機為什麼比電腦更加安全。
| 手機應用商店
手機端應用(App)之所以安全,是因為蘋果和谷歌商店在上架App之前會對其程式碼進行稽覈,主要稽覈兩個地方:App是否能夠訪問作業系統;App是否能夠訪問其他App的資料。這樣保證了你下載的軟體不會在系統中“越權”去訪問甚至攻擊你的錢包App。而電腦端的作業系統一般沒有這道屏障,它是一個更為開放的環境,甚至系統中既有的原生安全“屏障”也可以透過命令列工具等簡單繞開。
手機應用商店除了對釋出應用的程式碼進行稽覈,另外一個重要作用是,他會對釋出應用的簽名進行校驗。從而保證該應用是來源於被授權的釋出者。相比之下,電腦端的環境就會複雜很多。雖然有系統級的應用商店,但是下載渠道太多,導致了使用者經常會安裝非應用官方釋出的應用——這些應用可能會對你的錢包App造成威脅,甚至直接下載到被篡改的錢包App。有些電腦端軟體會利用PGP機制讓使用者驗證下載軟體的合法性,但也只有鳳毛菱角的使用者有能力完成這步操作。因此,電腦端應用成了駭客攻擊的主要目標。
這裡補充一下,由於很多第三方的安卓應用商店不一定會進行嚴格的稽覈,建議從谷歌應用商店下載安卓App,或者乾脆直接用iPhone。
| 沙盒
出於安全考慮,安卓和iOS系統都會要求手機端App採用“沙盒”安全機制。
根據安卓和iOS官方的描述,沙盒會限制許可權,“預設情況下,應用之間無法互動,並且對作業系統的訪問許可權是有限的。” 即使惡意程式碼傳入了越獄或root過的裝置,攻擊的可能性會相對小,因為只要是從官方應用商店下載的應用,都會在沙盒環境隔離執行。
通常安卓和蘋果系統預設啟用檔案加密,MacOS系統同樣可以,但是在Windows上,預設情況下是不啟用bitlocker的。而且電腦端通常更不嚴謹,可以允許使用者更改系統設定並繞過安全機制,從而為駭客開啟了方便之門。
| 硬體保護層
蘋果手機嵌入了一個安全硬體模組 Secure Enclave,獨立於應用程式處理器之外,具備自己的安全啟動和軟體更新,為系統提供敏感資料、金鑰儲存和加解密服務,並且限制其他非法軟體的訪問,即使在核心遭到入侵的情況下,也可以維護資料保護的完整性。而安卓手機則有 TEE(可信執行環境,Trusted Execution Environment)。TEE在裝置中提供一個安全區域,確保敏感資料在隔離、可信的環境中儲存、處理和保護,透過提供隔離的、安全執行的授權軟體,實現端到端的安全。
蘋果手機在啟動裝置時,所有系統韌體均需透過驗證是來自蘋果公司。安卓也有類似的機制,啟動時會驗證所有執行的程式碼均來自可信任的來源,如OEM廠商等。
但手機已經如此安全,掌櫃為什麼仍然推薦大家使用硬體錢包?請檢視《用離線電腦/手機儲存私鑰真的安全嗎?》
| 配套App是否應該設計成僅手機端適配?
僅限手機端適配的配套App是相對更安全的,但也存在缺陷。例如,由於手機端作業系統嚴格限制了應用的訪問許可權,使用者自定義隱私設定就缺乏了靈活性。
相比電腦端和Web端應用,手機端應用適用更多場景。但需要注意的是,使用公共WiFi執行硬體錢包配套App,可能會因中間人攻擊被監控網路流量,造成隱私洩露,隱私資訊往往會被利用到社會工程學攻擊。當我們進行交易時,建議使用加密的Wi-Fi或蜂窩網路環境,蘋果和谷歌的安全性將進一步保護硬體錢包與配套App的連線。
