独家 | 揭底!BiYong被爆严重用户隐私安全漏洞!

链圈的人应该对「电报群」(Telegram)不陌生,由于在国内被河蟹,因此有人做了一个「可以科学上网的Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键加入各大主流区块链社群。

然而,这款号称要做「区块链领域的微信」的产品,最近被爆出了严重的隐私漏洞

数字钱包是区块链生态交易中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一般App不同的是,加密钱包类App需要面对更严格的安全审查,并拥有更高的隐私保护的标准。GDPR(EU General Data Protection Regulation,欧盟公众数据保护条例)更是出台了一系列的法规。

最近,区块链安全公司PeckShield(曾曝出多个ERC20漏洞)对多个移动App的钱包产品进行检测,发现了BiYong的安全漏洞。

这个拥有三百万月活用户,以社交为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链领域的微信的App,不仅支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,似乎太大意了。

他们竟然将搜集到的用户在Telegram上的隐私信息(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!这一做法实在令人大跌眼镜,不光是安全防范意识差,也违背了区块链技术的思想。

安全漏洞技术细节

首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:

在对App的代码进行反编译后,发现该App在用户登陆过程中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都会被上传。以下是搜集用户信息的代码片段。

如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「v3」的变量,然后v3将这些信息上传给一个URL链接,即:UrlConfig.URL_USER_UPLOAD

从下面这段代码可以看出,

UrlConfig.URL_USER_UPLOAD指向的地址是:

https://www.biyong.info/app/user/upload

而这个地址正是属于BiYong的私有地址。

不仅如此,BiYong在RollOutActivity的过程中,还调用了sendOutToServer()参数。用户在对加密货币进行转账时,支付密码会以明文的方式存放在v3.trxPassword参数中,之后传递给:UrlConfig.URL_OUT_SUBMIT

从下图可以看出,

UrlConfig.URL_OUT_SUBMIT的地址指向:

https://www.biyong.info/app/wallet/withdraw/create

也是一个属于BiYong的私有地址。

后果可能比你想象的严重

由于泄露的密码是6位数,是一个很普遍的密码长度,很多人习惯在不同的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄露,后果将不堪设想。

无论BiYong的这个漏洞是一时疏忽还是有意为之,这些漏洞都表明BiYong应该提高对于安全的认知,也应该加强安全等级,例如遵守GDPR的最新规范。

看来,区块链安全,任重而道远。

原文发布于微信公众号 - 区块链大本营(blockchain_camp)

原文发表时间:2018-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

三年前的libupnp库漏洞,腾讯QQ音乐终于修复了

由于3年前的一个漏洞,今天仍然有610万台设备可被远程代码执行,包括智能手机、路由器、智能电视等,而且这个漏洞早在3年前就已经修复。 该漏洞存在于UPnP™设...

1827
来自专栏FreeBuf

Android 4.4被爆VPN存在安全漏洞

(谷歌2013年7月下旬发布了 Android 4.3 Jelly Bean系统,不过这只是一款较小更新版本。当大家还在焦急的等待着传说中的 Android 5...

1885
来自专栏漏斗社区

专属|Spectre漏洞诞生新变体

又到了熬夜看球喝啤酒的快乐日子了!昨晚,有多少小伙们跟斗哥一样,顶着黑眼圈看完了世界杯首场比赛!

1184
来自专栏程序员互动联盟

当你问"想做c++开发是基于Linux还是基于windows"之后

我觉得故事是这样发展的.... ? ? 先是纠结语言 (lisp没听过 听说python效率不高还缩进 原来ruby是小鬼子弄的 那个什么叫lua的只能用来写游...

3357
来自专栏腾讯云安全的专栏

腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务

1783
来自专栏FreeBuf

.Chm格式帮助文件作盾,CryptoWall勒索软件卷土重来

网络诈骗软件近年来层出不穷,而且每当研究人员找到检测方法和防护技术时,它都能快速的找到躲避检测的方法或者进行变种。近日,Bitdefender的安全专家又披露了...

1847
来自专栏FreeBuf

一家中国广告公司,如何利用恶意软件感染全球8500万台手机

最近Check Point发布了一份非常详细的报告,谈到一款名为HummingBad的Android恶意程序。此恶意程序在行为方式上和先前一些相当霸道的Andr...

1895
来自专栏FreeBuf

不懂编程也能造勒索软件,来看国内这款Android勒索软件生成工具

概要:据一份报告称,一款来自中国的Android勒索软件生成套件,正在某地下黑客论坛和中国社交网站上传播。黑客只需一次性付款,即可随意创建不受限的勒索软件变体。...

2758
来自专栏FreeBuf

FacexWorm通过Facebook Messenger和Chrome扩展传播

Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。

742
来自专栏企鹅号快讯

黑客通过Facebook Messenger传播加密货币挖掘恶意软件

在目前加密货币价格越来越高情况下,越来越多的网站偷偷摸摸地使用访问者的CPU来挖掘加密货币。但是一个新发现的挖掘恶意软件更加恶意,并且正在通过Facebook ...

1825

扫码关注云+社区