鏈圈的人應該對「電報群」(Telegram)不陌生,由於在國內被河蟹,因此有人做了一個「可以科學上網的Telegram」——BiYong,BiYong可以與Telegram全部資料互聯,也可以一鍵加入各大主流區塊鏈社群。
然而,這款號稱要做「區塊鏈領域的微信」的產品,最近被爆出了嚴重的隱私漏洞。
數字錢包是區塊鏈生態交易中不可或缺的工具,無論是管理加密資產,還是轉賬都至關重要,在應用市場中也可以看到不少這類產品的身影,如Exodus或imToken等。與一般App不同的是,加密錢包類App需要面對更嚴格的安全審查,並擁有更高的隱私保護的標準。GDPR(EU General Data Protection Regulation,歐盟公眾資料保護條例)更是出臺了一系列的法規。
最近,區塊鏈安全公司PeckShield(曾曝出多個ERC20漏洞)對多個移動App的錢包產品進行檢測,發現了BiYong的安全漏洞。
這個擁有三百萬月活使用者,以社交為主打(連線使用者、社羣、媒體、加密資產、應用……),號稱要成為區塊鏈領域的微信的App,不僅支援使用者與Telegram無縫接入,也支援轉賬和付款。然而,就是這樣一款產品,在使用者隱私資訊的收集和管理上,似乎太大意了。
他們竟然將蒐集到的使用者在Telegram上的隱私資訊(使用者ID、使用者名稱、電話號碼、支付密碼),明文上傳到自己的伺服器!這一做法實在令人大跌眼鏡,不光是安全防範意識差,也違背了區塊鏈技術的思想。
安全漏洞技術細節
首先,PeckShield的研究員(以下簡稱「研究員」)在主流Android應用商店下載了BiYong的App。引數如下:
在對App的程式碼進行反編譯後,發現該App在使用者登陸過程中會呼叫uploadUserInfo()引數,如論是否成功登陸,使用者資訊都會被上傳。以下是蒐集使用者資訊的程式碼片段。
如上面程式碼所示,uploadUserInfo()引數將蒐集到的使用者資訊:Telegram ID/使用者名稱、電話號碼等,傳給一個叫「v3」的變數,然後v3將這些資訊上傳給一個URL連結,即:UrlConfig.URL_USER_UPLOAD。
從下面這段程式碼可以看出,
UrlConfig.URL_USER_UPLOAD指向的地址是:
https://www.biyong.info/app/user/upload,
而這個地址正是屬於BiYong的私有地址。
不僅如此,BiYong在RollOutActivity的過程中,還呼叫了sendOutToServer()引數。使用者在對加密貨幣進行轉賬時,支付密碼會以明文的方式存放在v3.trxPassword引數中,之後傳遞給:UrlConfig.URL_OUT_SUBMIT。
從下圖可以看出,
UrlConfig.URL_OUT_SUBMIT的地址指向:
https://www.biyong.info/app/wallet/withdraw/create。
也是一個屬於BiYong的私有地址。
後果可能比你想象的嚴重
由於洩露的密碼是6位數,是一個很普遍的密碼長度,很多人習慣在不同的平臺用同一個密碼,如支付寶、微信支付等。因此一旦這個密碼和手機號碼同時洩露,後果將不堪設想。
無論BiYong的這個漏洞是一時疏忽還是有意為之,這些漏洞都表明BiYong應該提高對於安全的認知,也應該加強安全等級,例如遵守GDPR的最新規範。
看來,區塊鏈安全,任重而道遠。
