独家 | 揭底!BiYong被爆严重用户隐私安全漏洞!

链圈的人应该对「电报群」(Telegram)不陌生,由于在国内被河蟹,因此有人做了一个「可以科学上网的Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键加入各大主流区块链社群。

然而,这款号称要做「区块链领域的微信」的产品,最近被爆出了严重的隐私漏洞

数字钱包是区块链生态交易中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一般App不同的是,加密钱包类App需要面对更严格的安全审查,并拥有更高的隐私保护的标准。GDPR(EU General Data Protection Regulation,欧盟公众数据保护条例)更是出台了一系列的法规。

最近,区块链安全公司PeckShield(曾曝出多个ERC20漏洞)对多个移动App的钱包产品进行检测,发现了BiYong的安全漏洞。

这个拥有三百万月活用户,以社交为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链领域的微信的App,不仅支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,似乎太大意了。

他们竟然将搜集到的用户在Telegram上的隐私信息(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!这一做法实在令人大跌眼镜,不光是安全防范意识差,也违背了区块链技术的思想。

安全漏洞技术细节

首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:

在对App的代码进行反编译后,发现该App在用户登陆过程中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都会被上传。以下是搜集用户信息的代码片段。

如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「v3」的变量,然后v3将这些信息上传给一个URL链接,即:UrlConfig.URL_USER_UPLOAD

从下面这段代码可以看出,

UrlConfig.URL_USER_UPLOAD指向的地址是:

https://www.biyong.info/app/user/upload

而这个地址正是属于BiYong的私有地址。

不仅如此,BiYong在RollOutActivity的过程中,还调用了sendOutToServer()参数。用户在对加密货币进行转账时,支付密码会以明文的方式存放在v3.trxPassword参数中,之后传递给:UrlConfig.URL_OUT_SUBMIT

从下图可以看出,

UrlConfig.URL_OUT_SUBMIT的地址指向:

https://www.biyong.info/app/wallet/withdraw/create

也是一个属于BiYong的私有地址。

后果可能比你想象的严重

由于泄露的密码是6位数,是一个很普遍的密码长度,很多人习惯在不同的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄露,后果将不堪设想。

无论BiYong的这个漏洞是一时疏忽还是有意为之,这些漏洞都表明BiYong应该提高对于安全的认知,也应该加强安全等级,例如遵守GDPR的最新规范。

看来,区块链安全,任重而道远。

原文发布于微信公众号 - 区块链大本营(blockchain_camp)

原文发表时间:2018-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

一台二手电脑引发的离奇“黑客”故事

下面就是我的亲身经历。 二手电脑 最近,我想买台新电脑,就是那种低端笔记本,可以应付一些轻量级的工作,HP Stream似乎是个不错的选择。而且让我惊喜的是,如...

2587
来自专栏FreeBuf

从小扎的“dadada”来扒扒:Linkedin泄露数据中最不安全的6款密码

近日FaceBook CEO扎克伯格的Twitter和Pinterest账户被沙特阿拉伯黑客组织 OurMine入侵,小扎dadada的萌密码在各大网站传开。究...

19510
来自专栏小樱的经验随笔

不要再被骗了------QQ盗号原理大揭秘

3305
来自专栏FreeBuf

Ledger硬件钱包存在漏洞,通过MITM可篡改钱包地址

近日,刚获得7500万美元B轮融资的加密货币硬件钱包“Ledger”被曝存在漏洞,且已经由匿名安全研究员确认,网络犯罪分子可利用该漏洞向Ledger使用者展示欺...

2145
来自专栏FreeBuf

加密钱包再爆严重漏洞,看我怎么“榨干”你的钱包

SaleemRashid 是一名来自英国的十五岁少年,而这位年少有为的同学成功地在Ledger公司所生产的加密货币硬件钱包Ledger Nano S中发现了一个...

1274
来自专栏区块链入门

慢雾科技:EOS、以太坊网络攻防情报及智能合约安全分享

区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导...

711
来自专栏FreeBuf

你的电脑适合挖矿还是感染恶意软件?由它来决定

勒索软件可以锁定你的电脑,并通过对数据进行加密来阻止你访问自己电脑中的文件,直到你向攻击者支付赎金才行,而非法挖矿软件利用的是目标用户设备的CPU算力以及电能来...

973
来自专栏企鹅号快讯

虚拟系统管理Kaseya VSA遭黑客滥用 受感染系统秒变门罗币挖矿机

“用指尖改变世界” ? 根据网络安全公司eSentire在本周二发布的调查报告称,自2018年1月19日起,黑客开始利用Kaseya VSA(虚拟系统管理)存在...

2235
来自专栏FreeBuf

检测一下你的专业指数 | 2015年十大测试工具你认识几个?

如果你真的喜欢安全,了解下面这些工具是你通往大神之路的必备良品,快来看看都有哪些工具并学习一下吧! 这份黑客工具列表中的一部分是基于Kali Linux的,其他...

1987
来自专栏极客编程

比特币与130多种山寨币的数字货币开源交易库CCXT(CryptoCurrency eXchange)

CCXT(CryptoCurrency eXchange)交易库,一个JavaScript/Python/PHP加密货币交易库,支持超过100种山寨币与比特币交...

901

扫码关注云+社区