在线使用金钱时,即使在谈论像比特币这样的数字加密货币时,确保所有数据的安全也很重要。 本月初,Naked Security有一个 有关错误的文章 适用于Android智能手机和平板电脑的Coinbase应用程序中,这引起了一些人的恐慌。
安全研究员Bryan Stern公开了解该应用程序处理其SSL连接的方式中的缺陷 GitHub上 该博客于27年2014月XNUMX日发布。在此之前,他曾与Coinbase来回交流,后者表示该漏洞并不十分严重。 斯特恩写道:
如果SSL连接遭到破坏,攻击者可以通过窃取用户的访问令牌来完全控制用户的帐户。 攻击者还可能拦截发送比特币并更改金额和目标地址的请求。
实际上,来自Coinbase的Android应用确实会检查 TLS 当证书连接到Coinbase服务器并确保已由公认的证书颁发机构(CA)签名时显示的证书,Stern认为这还不够。 使用HTTPS客户端的其他金融应用通常会采取额外的步骤来 交叉检查 此 TLS 证书,增加了另一层安全性。
来自比特币的Andreas Antonopoulos和其他人已经独立审核了Coinbase的安全性和偿付能力,并且该应用程序现已可供世界各地的用户使用。 Coinbase一直在努力为用户提供安全性和便利性之间的界限,有些人认为他们在完成危险任务方面做得还不错。
所有这些都引发了一个问题–所有金融应用程序都安全吗? 早在今年40月,IOActive的Ariel Sanchez就研究了40种不同的iOS银行应用程序。 研究发现,大约XNUMX%的应用程序通过HTTPS连接 完全不验证证书。 如您所知,这是现代互联网上的巨大安全风险。
回到Coinbase,还有其他一些与SSL /TLS。 最大的问题之一是私钥由Coinbase保留,而不提供给用户。 “在Mtgox上使用硬币给我的经验是:如果您和您一个人不拥有私钥,那么您就不会拥有硬币,” Introshine在网上说到。 CryptoCoinsNews.
在移动设备上安装安全提示之前,请牢记以下安全提示。
- 除非您知道移动应用程序绝对安全,否则请勿将其用于金融交易
- 使用受保护的台式机或带有主流浏览器的笔记本电脑进行银行业务
- 如果您确实使用了移动银行应用程序,请确保使用VPN连接以提高安全性和安心
遵循上述建议将有助于确保您的安全。 尽管Coinbase和其他公司在发布移动应用程序时会考虑安全性,但是确保您自己采取步骤保护在线财务数据非常重要。