imToken冷錢包下載千萬別搜廣告！官方校驗(yàn)碼必驗(yàn)否則資產(chǎn)危險

冷錢包的關(guān)鍵核心要點(diǎn)就在于私鑰始終都不會與網(wǎng)絡(luò)有接觸，然而一旦所下載的那個APP自身遭到了篡改，那么后續(xù)所有精心設(shè)計(jì)安排的安全舉措都將會化為泡影。此次走查著重留意關(guān)注從下載開始一直到冷錢包投入使用的整個完整鏈路過程，結(jié)果發(fā)現(xiàn)部分用戶依然還是通過搜索引擎廣告亦或者是非官方鏈接來獲取安裝包，可是官方所提供的SHA256校驗(yàn)碼還有簽名信息，卻很少有人切實(shí)真正去進(jìn)行驗(yàn)證，這無疑絕對是最為致命的入口風(fēng)險。

在整個冷錢包使用鏈路里，進(jìn)一步深入剖析可得，該鏈路從下載環(huán)節(jié)起始就暗藏著眾多風(fēng)險。部分用戶由于欠缺充足安全意識，輕易就采信了搜索引擎廣告或者非官方鏈接所給出的安裝包，然而卻忽視了官方所給予的關(guān)鍵校驗(yàn)碼以及簽名信息。這般對安全細(xì)節(jié)的漠視，致使冷錢包在初始階段就置身于風(fēng)險當(dāng)中，一旦 APP 遭到篡改，后續(xù)的安全設(shè)計(jì)就如同形同虛設(shè)一般，用戶資產(chǎn)安全便危在旦夕。然而，由官方所提供的校驗(yàn)碼以及簽名信息，本來應(yīng)當(dāng)成為那保障安全的第一道防線，可是卻被大多數(shù)的用戶給忽視了，這一入口的風(fēng)險急切地需要得到重視以及解決。

在冷錢包生成這個環(huán)節(jié)，imToken雖說采取了于“冷錢包模式”里切斷常規(guī)網(wǎng)絡(luò)請求的舉措，可是在走查進(jìn)程中卻發(fā)覺，部分安卓版本于首次啟動之際，仍舊會試著發(fā)送匿名統(tǒng)計(jì)數(shù)據(jù)，而且，剪貼板監(jiān)聽權(quán)限在沒被授權(quán)的狀況下，有被系統(tǒng)級應(yīng)用讀取的可能性。

設(shè)備需永久處于離線狀態(tài)，真正意義上的冷錢包應(yīng)運(yùn)行其上，并且APP要徹底關(guān)閉所有不必要的、與網(wǎng)絡(luò)相關(guān)的服務(wù)，以及系統(tǒng)調(diào)用。

在使用期間，交易構(gòu)造以及簽名屬于另外一道關(guān)卡。當(dāng)走查表明借助二維碼去傳輸未簽名交易之際，要是用戶沒有認(rèn)真核查接收地址還有金額，那么存在著被惡意應(yīng)用替換交易數(shù)據(jù)的可能性。建議于離線設(shè)備之上運(yùn)用硬件錢包協(xié)同簽名，并且定期經(jīng)由官方渠道再度校驗(yàn)APP完整性，以防因長時間未曾更新而遺留已知漏洞。

你在使用冷錢包前，真的驗(yàn)證過安裝包的哈希值和數(shù)字簽名嗎？