慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析

慢雾发布iCloud用戶的MetaMask钱包遭遇钓鱼攻击简析。称首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

声音 | 慢雾科技联合创始人余弦：隐私不是拿来保护的 是拿来控制的:据巴比特消息，慢雾科技联合创始人余弦今日在活动中表示：“我觉得隐私不是拿来保护的。我的观点是，隐私是拿来控制的。大家都知道我们国家的法律里面有一个关于隐私的权利，大家都有隐私权，当然不一定所有人都会深刻地了解这个东西，包括你在使用很多互联网应用的时候，你可能不一定会它的隐私条款。”[2019/5/16]

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

动态 | 网传“Fomo 3D遭受黑客攻击” 慢雾安全团队判断为DDoS攻击:网传“Fomo 3D遭受黑客攻击”，慢雾安全团队判断为Fomo 3D网站遭受了DDoS攻击，但以太坊上智能合约不受影响，因为以太坊网络Gas值尚在正常范围内。目前，Fomo 3D网站使用的安全管理网站Cloudflare已开启高防验证，用户需等待5秒才能访问网站。据悉，5秒等待时间几乎是Cloudflare的最高级DDoS防御策略。[2018/7/31]

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

分析 | 慢雾安全团队提醒｜EOS假账号安全风险预警:根据IMEOS报道，EOS 假账号安全风险预警，慢雾安全团队提醒：

如果 EOS 钱包开发者没对节点确认进行严格判断，比如应该至少判断 15 个确认节点才能告诉用户账号创建成功，那么就可能出现假账号攻击。

攻击示意如下：

1. 用户使用某款 EOS 钱包注册账号（比如 aaaabbbbcccc），钱包提示注册成功，但由于判断不严格，这个账号本质是还没注册成功

2. 用户立即拿这个账号去某交易所做提现操作

3. 如果这个过程任意环节作恶，都可能再抢注 aaaabbbbcccc 这个账号，导致用户提现到一个已经不是自己账号的账号里

防御建议：轮询节点，返回不可逆区块信息再提示成功，具体技术过程如下：

1. push_transaction 后会得到 trx_id

2. 请求接口 POST /v1/history/get_transaction

3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]

MetaMaskiOS端代码中没有发现存在这类禁止钱包数据(如KeyStore文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标iCloud里恢复MetaMaskiOSApp钱包的相关数据。

慢雾安全团队经过实测通过iCloud恢复数据后再打开MetaMask钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。

iOSApp端在代码上如何避免iCloud自动备份钱包App中的数据可以参考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

标签：CloudCLOOUDLOUDCloudnameCLOCKGalaxy Cloud

币安app官方下载最新版热门资讯