使比特币更安全

新的应用程序使比特币更安全
研究人员说:“超过90%的用户不知道他们的钱包是否违反了基于用户研究结果的去中心化设计原则。” 而且,如果应用违反了这一原则,则可能对用户造成巨大的安全风险。

密歇根州立大学的一名计算机科学工程师对使用智能手机应用程序管理其加密货币的数百万比特币所有者有一个建议:不要。或者至少要小心。MSU的研究人员正在开发一种移动应用程序,以保护流行但易受攻击的用于管理加密货币的“钱包”应用程序。

密歇根州立大学工程学院计算机科学与工程学系的助理教授涂冠华说:“越来越多的人在他们的智能手机上使用比特币钱包应用程序。” “但是这些应用程序存在漏洞。”

智能手机钱包应用程序使购买和交易加密货币变得容易,加密货币是一种相对较新的数字货币,除了一种以外,几乎在所有方面都难以理解:这非常有价值。在撰写本文时,比特币是最有价值的加密货币,其中一个比特币的价值超过55,000美元。

但是Tu和他的团队正在发现可能使用户的金钱和个人信息面临风险的漏洞。好消息是,该团队还通过提高对这些安全问题的认识并开发可解决这些漏洞的应用程序,来帮助用户更好地保护自己。

研究人员在为计算机协会举行的数据和应用程序安全与隐私会议上发表的一篇论文中展示了该应用程序-比特币安全整流器。在提高知名度方面,涂教授希望帮助钱包用户了解这些应用程序会违反比特币的中心原则之一,即去中心化,从而使他们容易受到攻击。

比特币是一种不与任何中央银行或政府绑定的货币。也没有中央计算机服务器存储有关比特币帐户的所有信息,例如谁拥有多少。

涂教授说:“有些应用违反了这种分散原则。” “这些应用程序是由第三方开发的。而且,他们可以让自己的钱包应用程序与自己的专有服务器连接,然后再连接到比特币。”

从本质上讲,比特币安全整流器可以引入一个中间人,该中间人在设计上就忽略了比特币。用户通常不知道这一点,应用程序开发人员也不一定会了解这些信息。

涂说:“超过90%的用户不知道他们的钱包是否基于用户研究的结果违反了这种分散式设计原则。” 而且,如果应用违反了这一原则,则可能对用户造成巨大的安全风险。例如,它可以为不道德的应用程序开发人员打开门,让他们简单地获取用户的比特币。

涂说,用户保护自己的最好方法是不要使用不受信任的开发人员开发的智能手机钱包应用程序。相反,他鼓励用户使用计算机(而不是智能手机)和比特币官方网站bitcoin.org上的资源来管理其比特币。例如,该网站可以帮助用户做出有关钱包应用程序的明智决定。

但是,即使是由信誉良好的来源开发的钱包也可能并不完全安全,这就是新应用程序的用武之地。

大多数智能手机程序都是使用称为Java的编程语言编写的。比特币钱包应用程序利用一个称为bitcoinj的Java代码库,发音为“ bitcoin jay”。正如该团队在其最近的论文中所证明的那样,该图书馆本身具有网络犯罪分子可能会攻击的漏洞。

这些攻击可能会导致多种后果,包括损害用户的个人信息。例如,它们可以帮助攻击者推断出钱包用户用来发送或接收比特币的所有比特币地址。攻击还会向用户发送大量不需要的数据,从而耗尽电池电量,并有可能导致大量的电话账单。

Tu的应用程序旨在与钱包在同一手机上同时运行,并在其中监视此类入侵的迹象。涂说,该应用程序会在发生攻击时向用户发出警报,并根据攻击的类型提供补救措施。例如,该应用程序可以在传出的比特币消息中添加“噪声”,以防止小偷获取准确的信息。

涂说:“目标是您将能够下载我们的工具并免受这些攻击。”

该小组目前正在开发适用于Android手机的应用程序,并计划在未来几个月内将其下载到Google Play应用商店中。涂说,由于iOS带来的额外挑战和限制,iPhone应用程序目前没有时间表。

然而,与此同时,涂强调,用户保护自己免受智能手机比特币钱包的不安全影响的最佳方法就是不使用开发者,除非开发者受到信任。

“我想分享的主要内容是,如果您不太了解智能手机钱包应用,最好不要使用它们,因为任何开发人员(恶意或良性)都可以将其钱包应用上传到Google Play或Apple App Store, “ 他说。

本文为作者 黄凯 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论