独家 | 揭底!BiYong被爆严重用户隐私安全漏洞!

链圈的人应该对「电报群」(Telegram)不陌生,由于在国内被河蟹,因此有人做了一个「可以科学上网的Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键加入各大主流区块链社群。

然而,这款号称要做「区块链领域的微信」的产品,最近被爆出了严重的隐私漏洞

数字钱包是区块链生态交易中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一般App不同的是,加密钱包类App需要面对更严格的安全审查,并拥有更高的隐私保护的标准。GDPR(EU General Data Protection Regulation,欧盟公众数据保护条例)更是出台了一系列的法规。

最近,区块链安全公司PeckShield(曾曝出多个ERC20漏洞)对多个移动App的钱包产品进行检测,发现了BiYong的安全漏洞。

这个拥有三百万月活用户,以社交为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链领域的微信的App,不仅支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,似乎太大意了。

他们竟然将搜集到的用户在Telegram上的隐私信息(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!这一做法实在令人大跌眼镜,不光是安全防范意识差,也违背了区块链技术的思想。

安全漏洞技术细节

首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:

在对App的代码进行反编译后,发现该App在用户登陆过程中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都会被上传。以下是搜集用户信息的代码片段。

如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「v3」的变量,然后v3将这些信息上传给一个URL链接,即:UrlConfig.URL_USER_UPLOAD

从下面这段代码可以看出,

UrlConfig.URL_USER_UPLOAD指向的地址是:

https://www.biyong.info/app/user/upload

而这个地址正是属于BiYong的私有地址。

不仅如此,BiYong在RollOutActivity的过程中,还调用了sendOutToServer()参数。用户在对加密货币进行转账时,支付密码会以明文的方式存放在v3.trxPassword参数中,之后传递给:UrlConfig.URL_OUT_SUBMIT

从下图可以看出,

UrlConfig.URL_OUT_SUBMIT的地址指向:

https://www.biyong.info/app/wallet/withdraw/create

也是一个属于BiYong的私有地址。

后果可能比你想象的严重

由于泄露的密码是6位数,是一个很普遍的密码长度,很多人习惯在不同的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄露,后果将不堪设想。

无论BiYong的这个漏洞是一时疏忽还是有意为之,这些漏洞都表明BiYong应该提高对于安全的认知,也应该加强安全等级,例如遵守GDPR的最新规范。

看来,区块链安全,任重而道远。

原文发布于微信公众号 - 区块链大本营(blockchain_camp)

原文发表时间:2018-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

打开手机的这个功能,微信支付宝不怕盗刷!

面对层出不穷的诈骗方式和盗刷手段 支付平台也开启了各种验证模式 手机丢了不可怕 可怕的是与之绑定的各种账号 一个短信验证码 你的支付宝、微信便全落入他人手中! ...

49270
来自专栏FreeBuf

检测一下你的专业指数 | 2015年十大测试工具你认识几个?

如果你真的喜欢安全,了解下面这些工具是你通往大神之路的必备良品,快来看看都有哪些工具并学习一下吧! 这份黑客工具列表中的一部分是基于Kali Linux的,其他...

22270
来自专栏FreeBuf

FacexWorm通过Facebook Messenger和Chrome扩展传播

Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。

10020
来自专栏小樱的经验随笔

不要再被骗了------QQ盗号原理大揭秘

94850
来自专栏FreeBuf

Ledger硬件钱包存在漏洞,通过MITM可篡改钱包地址

近日,刚获得7500万美元B轮融资的加密货币硬件钱包“Ledger”被曝存在漏洞,且已经由匿名安全研究员确认,网络犯罪分子可利用该漏洞向Ledger使用者展示欺...

23150
来自专栏All in Tech

Enecuum链

生态链之所以存在,主要是用于过滤不执行有用操作的交易(垃圾交易,垃圾邮件,过载信息,对区块链系统进行Dos攻击的尝试等)

45870
来自专栏FreeBuf

一台二手电脑引发的离奇“黑客”故事

下面就是我的亲身经历。 二手电脑 最近,我想买台新电脑,就是那种低端笔记本,可以应付一些轻量级的工作,HP Stream似乎是个不错的选择。而且让我惊喜的是,如...

31670
来自专栏极客编程

比特币与130多种山寨币的数字货币开源交易库CCXT(CryptoCurrency eXchange)

CCXT(CryptoCurrency eXchange)交易库,一个JavaScript/Python/PHP加密货币交易库,支持超过100种山寨币与比特币交...

30610
来自专栏区块链入门

慢雾科技:EOS、以太坊网络攻防情报及智能合约安全分享

区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导...

8910
来自专栏华仔的技术笔记

eosio.system合约分析部署合约:

53780

扫码关注云+社区

领取腾讯云代金券