独家 | 揭底!BiYong被爆严重用户隐私安全漏洞!

链圈的人应该对「电报群」(Telegram)不陌生,由于在国内被河蟹,因此有人做了一个「可以科学上网的Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键加入各大主流区块链社群。

然而,这款号称要做「区块链领域的微信」的产品,最近被爆出了严重的隐私漏洞

数字钱包是区块链生态交易中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一般App不同的是,加密钱包类App需要面对更严格的安全审查,并拥有更高的隐私保护的标准。GDPR(EU General Data Protection Regulation,欧盟公众数据保护条例)更是出台了一系列的法规。

最近,区块链安全公司PeckShield(曾曝出多个ERC20漏洞)对多个移动App的钱包产品进行检测,发现了BiYong的安全漏洞。

这个拥有三百万月活用户,以社交为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链领域的微信的App,不仅支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,似乎太大意了。

他们竟然将搜集到的用户在Telegram上的隐私信息(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!这一做法实在令人大跌眼镜,不光是安全防范意识差,也违背了区块链技术的思想。

安全漏洞技术细节

首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:

在对App的代码进行反编译后,发现该App在用户登陆过程中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都会被上传。以下是搜集用户信息的代码片段。

如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「v3」的变量,然后v3将这些信息上传给一个URL链接,即:UrlConfig.URL_USER_UPLOAD

从下面这段代码可以看出,

UrlConfig.URL_USER_UPLOAD指向的地址是:

https://www.biyong.info/app/user/upload

而这个地址正是属于BiYong的私有地址。

不仅如此,BiYong在RollOutActivity的过程中,还调用了sendOutToServer()参数。用户在对加密货币进行转账时,支付密码会以明文的方式存放在v3.trxPassword参数中,之后传递给:UrlConfig.URL_OUT_SUBMIT

从下图可以看出,

UrlConfig.URL_OUT_SUBMIT的地址指向:

https://www.biyong.info/app/wallet/withdraw/create

也是一个属于BiYong的私有地址。

后果可能比你想象的严重

由于泄露的密码是6位数,是一个很普遍的密码长度,很多人习惯在不同的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄露,后果将不堪设想。

无论BiYong的这个漏洞是一时疏忽还是有意为之,这些漏洞都表明BiYong应该提高对于安全的认知,也应该加强安全等级,例如遵守GDPR的最新规范。

看来,区块链安全,任重而道远。

原文发布于微信公众号 - 区块链大本营(blockchain_camp)

原文发表时间:2018-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏一个爱瞎折腾的程序猿

sqlserver使用存储过程跟踪SQL

USE [master] GO /****** Object: StoredProcedure [dbo].[sp_perfworkload_trace_s...

2020
来自专栏张善友的专栏

Silverlight + Model-View-ViewModel (MVVM)

     早在2005年,John Gossman写了一篇关于Model-View-ViewModel模式的博文,这种模式被他所在的微软的项目组用来创建Expr...

2948
来自专栏张善友的专栏

Miguel de Icaza 细说 Mix 07大会上的Silverlight和DLR

Mono之父Miguel de Icaza 详细报道微软Mix 07大会上的Silverlight和DLR ,上面还谈到了Mono and Silverligh...

2707
来自专栏C#

DotNet加密方式解析--非对称加密

    新年新气象,也希望新年可以挣大钱。不管今年年底会不会跟去年一样,满怀抱负却又壮志未酬。(不过没事,我已为各位卜上一卦,卦象显示各位都能挣钱...)...

4828
来自专栏转载gongluck的CSDN博客

cocos2dx 打灰机

#include "GamePlane.h" #include "PlaneSprite.h" #include "BulletNode.h" #include...

5346
来自专栏魂祭心

原 canvas绘制clock

4054
来自专栏我和未来有约会

Silverlight第三方控件专题

这里我收集整理了目前网上silverlight第三方控件的专题,若果有所遗漏请告知我一下。 名称 简介 截图 telerik 商 RadC...

3985
来自专栏杨龙飞前端

scrollto 到指定位置

2494
来自专栏大内老A

The .NET of Tomorrow

Ed Charbeneau(http://developer.telerik.com/featured/the-net-of-tomorrow/) Exciti...

31210
来自专栏ASP.NETCore

ASP.NET Core 整合Autofac和Castle实现自动AOP拦截

除了ASP.NETCore自带的IOC容器外,我们还可以使用其他成熟的DI框架,如Autofac,StructureMap等(笔者只用过Unity,Ninjec...

674

扫码关注云+社区