慢雾发布关于“iCloud 用戶的 MetaMask 钱包遭遇钓鱼攻击”的简析:首先,用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了 iCloud 账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMask iOS App 端本身就存在安全缺陷。MetaMask 安卓端在 AndroidManifest.xml 中有android:allowBackup=« false" 来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。

MetaMask iOS 端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下 iCloud 会自动备份应用数据,当 iCloud 账号密码等权限信息被恶意攻击者获取,攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。

MetaMask - Blockchain Wallet – Applications sur Google Play

文章来自:https://www.bitpush.news/articles/2440801?from=listen

更新日期: 2022-04-19 01:10:26
文章标签:
文章链接: 慢雾发布关于 “iCloud 用戶的 MetaMask 钱包遭遇钓鱼攻击” 的简析  [复制链接]
站方声明: 除特别标注, 本站所有文章均为原创, 互联分享, 尊重版权, 转载请注明.