2018年加密数字钱包APP信息安全现状研究报告.doc

2018年加密数字钱包 APP信息安全现状研究报告 二一八年十一月 2018 年 12 月 目录 一、 背景 . 1 1. 目的 . 1 2. 检测机构介绍 . 2 2.1. . 上海交通大学网络空间安全学院 . 2 2.2. . 中国信息通信研究院泰尔终端实验室 . 2 2.3. . 上海掌御信息科技有限公司 . 3 3. 联合发布单位介绍 . 3 3.1. . 中国区块链应用研究中心 . 3 3.2. . 杭州加密谷区块链科技有限公司 . 3 3.3. . 上海淳粹文化传媒有限公司 . 4 二、 加密数字钱包 APP 信息安全现状 . 5 1. 评分综述 . 5 2. 去中心化加密数字钱包 APP 测试结果 . 6 2.1. 数字钱包校园版 . 6 2.2. JAXX . 8 2.3. 比特派 . 10 2.4. Kcash . 13 2.5. 麦子钱包 . 14 2.6. Imtoken . 16 3. 中心化加密数字钱包 APP 测试结果 . 18 3.1. LBank . 18 3.2. OKEx . 20 3.3. IDAX . 22 3.4. Bibox . 24 3.5. EXX . 26 3.6. ZB . 28 3.7. Coinbase . 30 3.8. 火币 . 32 4. 加密数字钱包 APP 信息安全十大风险 . 34 4.1. 签名私钥泄露 . 34 4.2. 通信数据明文发送 . 35 4.3. 通信数据可解密 . 35 4.4. 私 钥 /助记词不安全存储 . 35 4.5. 内存中明文形式存放私钥 /助记词 . 36 4.6. 密码学误用 . 36 4.7. 功能泄露 . 36 4.8. 可二次打包 . 37 4.9. 可调试 . 37 4.10. 代码可逆向 . 37 5. 加密数字钱包 APP 测试安全排行 . 38 三、 检测说明 . 38 检测对象的选择 . 38 检测标准 . 39 加密数字钱包的私钥使用安全 . 39 交易数据传输方法和实现 . 40 服务器安全 . 41 代码保护 . 41 检测方法 . 42 APP 的下载和锁定 . 42 静态检测 . 42 动态检测 . 43 深度检测 . 44 危害性重现 . 44 3.6. 评分 . 44 四、 潜在风险及解决方法 . 45 潜在风险 . 45 解决方法 . 46 构建权威性的安全标准 . 46 政策推动 . 46 构建企业广泛参与的安全生态 . 47 普及安全知识，提高用户信息安全意识 . 47 五、 结束语 . 48 免责声明 该加密数字钱包 APP 信息安全现状白皮书 （简称白皮书） 由区块链安全研究中心（由上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室、上海掌御信息科技有限公司联合成立）采用公开、合法的信息，运用相应的科学研究方法，对当前加密数字钱包行业相关 Android 移动应用 （ APP） 做出的信息安全分析评判。工信部组织本次检测工作并由上述三家单位联合发布该白皮书 ，其目的在于 促进加密数字钱包安全生态发展，提高加密数字钱包企业移动安全水平， 实现用户和企业共赢。本次检测不对企业数据、用户隐私造成任何破坏， 旨在发现应用本身的安全问题，对于存在的安全问题不做深入利用。所有安全信息按照企业内部流程处理完成之前不会对外公开。 该白皮书的检测对象的信息安全测试完全针对相应加密数字钱包企业自身对外公开发布的 APP 程序进行，并对所有抽样平台进行同等测试、科学统计、客观评定，过程无任何主观因素及人为干预。 该白皮书代表测试单位区块链安全研究中心观点，旨在表明某一家加密 数字钱包信息安全综合情况，代表相关各平台在信息安全方面的综合实力，不体现平台的盈利能力等其它特性，仅供读者参考。相关机构或者用户须根据情况自行判断。测试单位力求在白皮书中提供信息的完整和准确性，但是并不对此作任何形式的保证。白皮书中提供的数据、观点、文字等信息不构成任何法律证据，不代表官方机构意见。白皮书中所涉及的相关排名，均仅限于本次测试的对象范围。如果白皮书中的研究对象发生变化，测试单位将不另行通知。对白 皮书数据有异议，可以联系联合发布单位 （ 中国区块链应用研究中心、杭州加密谷区块链科 技有限公司、上海淳粹文化传媒有限公司）。 未获得测试单位的书面授权，任何人不得对本白皮书进行任何形式 的有悖原意的删节和修改。如引用、刊发，需注明出处为本次白皮书测试及联合发布单位（上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室、上海掌御信息科技有限公司、中国区块链应用研究中心、杭州加密谷区块链科技有限公司、上海淳粹文化传媒有限公司 ） 。 该白皮书是测试单位根据公开可查的数据，依据专业模型和算法，通过公平、严谨的测试、计算和分析得出的研究成果，不收 取任何费用，不涉及任何商业行为。 测试单位在该白皮书发布后，将继续跟进其内容中所涉及的各个加密数字钱包 APP，并持续关注加密数字钱包行业的信息安全问题， 定期出具相关分析报告。如需获取更加专业、详细的报告内容，请联系联合发布单位（中国区块链应用研究中心、杭州加密谷区块链科技有限公司、上海淳粹文化传媒有限公司）。 请任何人员不要咨询相关收费问题！如果有人冒充测试或联合发布单位工作人员借检测、评级或排名等事项向各加密数字钱包平台骗取钱财，请及时向此白皮书的联合发布单位 （ 中国区块链应用研究中心、杭州加密 谷区块链科技有限公司、上海淳粹文化传媒有限公司）进行举报。 关键字 APP： 这里是指 Android 系统中运行的手机软件。 加密数字钱包： 加密数字钱包是专门用来管理基于区块链技术的数字资产的应用，提供钱包地址的创建、 加密数字货币转账、每个钱包地址交易历史的查询等基础金融功能。 静态检测： 在不运行软件的情况下，利用 JEB， APKTOOL 等工具对手机软件的源代码或二进制代码进行语法语义的理解，从而进行安全性分析。 动态 检测： 通过实际运行软件，记录运行相关信息，收集运行结果，来测试手机软件的安全性。 漏洞： 手机软件的代码或协议等方面的具体实现存在安全性的缺陷，而这些缺陷可能导致攻击者在未授 权的情况下访问软件或系统的敏感数据，或破坏软件及系统。 风险： 手机软件的代码或协议等方面的具体实现存在安全性的不足，这些不足会大大增加软件本身或系 统被攻击的可能。 ADB： Android Debug Bridge，一种 Android 的调试工具，可以连接 Android 设备和 PC 端。Webview： Android sdk 自带的功能性组件，用来加载一个网页。 Webview 漏洞： 由于 Webview 对其加载的 JS 代码校验不足，导致某些加载的恶意 JS 代码可以利用软件本身的权限来执行恶意行为。 组件： Android 应用程序由一些零散的有联系的组件组成，通过一个工程 manifest 绑定在一起。组件 包括 activity， service， receiver， provider 等。 组件暴露： 在非开发人员有意的前提下， APP 的组件接口可以被其他 APP 非法调用，可能会导致 APP 敏感数据泄漏，功能泄漏，数 据污染等安全问题。 密码学误用： 由于开发人员对密码学相关知识的匮乏，错误的使用了安全性不足的加密算法或将密码， IV 等信息硬编码在了代码中，使得加密失去了保护数据的效果。 加壳： APP 对代码自我保护的方法。将原有的代码加密保存，当 APP 首先运行 “ 壳 ” 程序，再释放并解密保护的代码。加壳可以有效防止攻击者对代码的静态分析。 混淆： APP 对代码中出现的类名，变量名，方法名进行替换，将原来有实际意义的名称替换为无意义的名称，来隐藏原代码中各类名称透露的信息，大大增加了攻击者对代码的静态分析的难度。 风险 范围： 在本次检测过程中，所提及的安全风险影响的全体 APP 的比例。哈希值： APP 可执行文件的数字指纹，可用于唯一确定一个 APP 身份。 一、 背景 为促进区块链产业的发展、响应国家区块链行业政策，区块链安全研究中心 （ 由 上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室、上海掌御信息科技有限公司联合成立 ） 对 2018 年主流的 14 个加密数字钱包 Android 移动应用进行信息安全评估。本次评估遵循客观、全面、专业原则，每一个测试样本皆经过严格的安 全评估流程。本次评估历时 30 天（ 2018 年 10 月 15 日至 11 月 14 日），共计投入 11 名资深移动应用与 安全专家（其中上海交通大学网络空间安全学院 4 人、中国信息通信研究院 泰尔终端实验室 3 人、上海掌御信息科技有限公司 4 人）。 4 目的 2017 年是加密数字货币的爆发之年 比特币涨幅近 13 倍，很多人认为， 加密数字货币是金融行业中最大的革命力量之一。但与此同时，作为金融领 域中最具争议的话题，也有不少人抨击比特 币背后毫无支撑，是彻头彻尾的 泡沫。 毋庸置疑的是，比特币的崛起和上涨，引发了全球对加密数字货币未来前景的关注和期待。 2018 年，加密数字货币将有希望迎来重大转折。在当下加密货币的发展探索中，安全存储是最为关键的一环，是决定其健康可持续 发展的基石。因此，打造安全可靠的数字货币钱包作为数字资产的存储地是 至关重要的。 实际上加密数字钱包 APP 的井喷式发展并没有充分考虑对于相关信息安全的保护。在满足了便捷性和功能性的需求后，加密数字钱包 APP 的安全性又如何？ 目前行业内大部分为客户提供加密数字钱包的 APP 都缺少规范的安全监管标准和流程，许多 APP 缺乏对其代码和业务逻辑的充分安全性测试， 导致其包含的安全漏洞会将重要的数据信息暴露给黑客，将使用该应用的客户置于风险之中。基于对区块链技术的深度探索与挖掘、在安全领域多年积 攒的经验和认知，区块链安全研究中心 （ 由上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室、上海掌御信息科技有限公司联合成立 ） 采用公开、合法的信息，运用相应的科学研究方法，对当前加密数字钱包行 业相关 Android 移动应用 （ APP） 做出的信息安全分析评判，推出加密数字 钱包 APP 信息安全现状白皮书，主要目的是分析评估当前加密数字钱包 APP 中存在的典型信息安全问题和风险，并对其中存在的高风险进行预警。 5 检测机构介绍 区块链安全研究中心 BSRC 由上海掌御信息科技有限公司与上海交通大 学网络网络空间安全学院、中国信息通信研究院泰尔终端实验室共同组建。 BSRC 致力于区块链安全领域的基础研究，开展包括但不限于区块链安全技术 研发、安全行业标准制定、区块 链应用场景安全研究、区块链金融应用合规 性研究等工作。 5.1. 上海交通大学网络空间安全学院 上海交通大学网络空间安全学院（原信息安全工程学院），是由国家教育部、科技部、上海市政府和上海交通大学共同建设的国内首家学院建制的国家信息安全专业人才培养基地，拥有一支包括教授、副教授、兼职教授等 60 余名青年骨干教师和 200 多名博士、硕士研究生构成的高水平科研学术团队， 先后承担了 300 余项国 家重要科研项目及横向项目，取得了包括国家科技进步二等奖等一系列重要科研成果，并参与国家一系列重要的信息安全标准制定和法规建设等。 5.2. 中国信息通信研究院泰尔终端实验室 中国泰尔实验室 (CTTL)始建于 1981 年，行政隶属于工业和信息化部中国信息通信研究院 (CAICT)，由工业和信息化部和国家质量监督检验检疫总局 授权设立。实验室经历了不断的发 展和融合，现在的实验室是由工业和信息化部中国信息通信研究院所属的电信传输研究所、通信计量中心、邮电工业标准化研究所和保定泰尔通信设备抗震研究所通过业务重组和资源整合而组成的。中国泰尔实验室是集信息通信技术发展研究，信息通信产品标准、测试方法、通信计量标准、计量方法研究，国内外产品的测试、验证、技术评估、测试仪表计量、通信软件的评估、验证为一体的高科技组织。 5.3. 上海掌御信息科技有限公司 上海掌御信息 科技有限公司是专业的区块链安全服务提供商，由国际顶尖的白帽子技术团队和密码学博士组成，曾是银联云闪付底层白盒密码引擎的技术供应商，也参与了多个国家标准和行业标准的制定，并与工信部中国泰尔终端实验室、上海交通大学网络空间安全学院共同成立了区块链安全研究中心，致力于区块链基础链、智能合约、应用客户端的黑盒安全测试和白盒代码审计，同时也提供加密数字热钱包和冷钱包的底层安全解决方案和身份验证方案。 6 联合发布单位介绍 6.1. 中国区块链应用研究中心 中国区块链应用研究中心是公益机构，由互联网金融博物馆联合部分区块链业界的领袖机构成立，其宗旨是与监管机构密切合作，共同推动区块链行业的培训认证和规范发展，鼓励区块链在实体经济中的场景应用，防范金融风险，促进中国区块链业界与全球同行的交流，建立行业规则。 6.2. 杭州加密谷区块链科技 有限公司 杭州加密谷区块链科技有限公司加密谷 Live（ CryptoValley Live） 是具有全球视野的区块链新媒体品牌，关注全球加密经济产业趋势，以图文、视