掌御科技&amp上海交通大学：2018年加密数字钱包APP信息安全现状白皮书（53页）.pdf

掌御科技&上海交通大学：2018年加密数字钱包APP信息安全现状白皮书（53页）.pdf

上传人： st****n

编号：52970

2018-12-01

PDF 53页 5.10MB

《掌御科技&amp上海交通大学：2018年加密数字钱包APP信息安全现状白皮书（53页）.pdf》由会员分享，可在线阅读，更多相关《掌御科技&amp上海交通大学：2018年加密数字钱包APP信息安全现状白皮书（53页）.pdf（53页珍藏版）》请在三个皮匠报告上搜索。

该 APP 安全性较好，但依旧存在安全隐患，体现在如下方面：虽然 APP采用了 HTTPS 协议进行数据传输且对 HTTPS 证书进行了校验，但没有对证书进行绑定。攻击者在替换手机证书的情况下，依然可以中间人攻击。此外， APP中存在RSA私钥硬编码的问题，虽然造成的危害不大，但属于密码学误用的情况。APP在代码保护方面做得相对完善，进行了加壳和混淆操作，同时也做了ROOT检测、反调试检测、重打包检测等，可以在很大程度上抵御攻击者对APP代码的逆向分析。加密数字钱包APP信息安全风险签名私钥泄露险描述：钱包将所使用的用户私钥对外进行传输，导致核心秘密信息泄露。该风险可导致用户最核心的密钥信息被第三方获得。数字钱包私钥属于用户进行交易时电子签名的制作数据。2005 年4 月1 日起施行的中华人民共和国电子签名法(2015 年修订，下称电子签名法)在第十三条中，进一步规定了可靠的电子签名应当满足的条件：(一)电子签名制作数据用于电子签名时，属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制。私钥泄露(例如上传至服务器的行为)明显违背了电子签名法的要求，不符合安全实践，且不符合法律规定。

掌御科技&上海交通大学：2018年加密数字钱包APP信息安全现状白皮书（53页）.pdf

相关报告