LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 【预警】大量APP正在监控你的手机剪贴板、盗取私钥、更改地址!

【预警】大量APP正在监控你的手机剪贴板、盗取私钥、更改地址!

2020-05-28 冰棒 来源:区块链网络

不知道你有没有发现这样的瞬间:

你的手机比你还了解自己,比如你在某东APP搜索了‘笔记本’,然后你打开dou音APP,也会第一时间看到笔记本的商品信息。

这种情况,不禁让我出一身冷汗,手机究竟记录了我的哪些信息?特别是见光死的私钥,可以说是币圈小伙伴的梦魇!

1,明qiang易躲、暗箭难防

相信买过车,买过房的小伙伴都有过被骚扰的烦恼。买车的被保险公司骚扰,买房的被装修公司骚扰。

因为追责的成本巨高,用户只能忍气吞声,不厌其烦的拒绝。这也几乎成为了行业的潜规则,人们都习以为常了。

对于加密货币行业的小伙伴来讲,大部分人也接到过关于***交易所的客服,***社群的客服营销电话。

这些现象,都可以称之为明面上的隐私剥夺,用户稍加注意,还能招架得助。而真正的隐私危险,往往是看不见的,比如监控剪切板信息!

开篇提到的现象,很有可能是‘输入法’盗取剪贴板的信息,或者用户的账户信息泄漏现象。

一些流氓的浏览器,通过恶意的监控手机剪贴板,只要你点击输入框,剪贴板就会被‘植入’一堆淘口令,这就是剪贴板被监控现象。

App Store的上架规则,对于APP的读取/写入剪贴板并没有严格的要求。所以,不论是安卓还是IOS的机型,都会有这样的现象出现。

其实不仅仅是流氓软件会读取/写入用户的剪贴板,主流的APP也会在安装的时候,默认打开这个选项。比如,微博,TikTok~~

下图是一些APP有读取/写入剪贴板的APP列表,不过大部分是海外的APP,国内的APP暂时没看到有人统计,但肯定有不少APP都有这个权限

2,币圈用户属于高危人群

众所周知的,币圈最核心的数据就是‘私钥’,而当用户不幸被木马APP监控,就非常有可能丢失自己的加密资产。早在2018年,加密数字货币木马“剪贴板幽灵”就大行其道。

这款木马病毒可以监视windows剪贴板中的比特币地址,一旦恶意软件识别用户复制了比特币地址,就会将用户剪贴板中的地址替换为攻击者的地址,用户在不知不觉中可能就向攻击者发送了他们的比特币。

这款软件,当时监控了230万个比特币地址。所以,不论你的地址用了多少次,在转账的时候,一定一定要再三核对,才可以转账。

a,读取/写入图片

除了剪贴板以外,还有读取/写入图片的权限,有时候在扫码的时候需要打开。在使用完毕之后,能关闭的尽量关闭,需要用的实际再去打开即可。很多钱包软件直接设定‘禁止截图,禁止复制’是非常有必要的。

b,谷歌验证器

谷歌验证器属于二级防护密码,但同样也有剪贴板被监控的现象。

比如,之前币安APP,在登陆的时候,你只需要复制6位数谷歌验证码,当你切换到币安登陆页面,币安就就直接获取6位数验证码。

这其实就是一种对剪贴板的监控!不过,现在币安这个问题已经修复,把粘贴权限还给了用户。火币APP的权限一直是交给用户的。

一直没有改变的是OKEX!!复制完直接粘贴登陆,看上去挺人性化,但严格意义上来讲,也属于一种监控!

c,钱包选择

钱包软件开发商,也了解手机数据/剪贴板被监控的概率,一些软件直接不允许截图私钥。但是,一些比较懒的用户,还是有办法不‘写’私钥的。比如用其他手机拍照~~

当然,最好的办法,就是选择一款智能钱包,比如MYKEY!MYKEY相比于其他钱包来讲,最人性化的不仅仅是它的资产可找回功能,还包括它的授权方式。

其他的钱包私钥,无论你登陆多少个设备,原设备都不会察觉到。

而MYKEY的私钥,只要你重新输入,就会有一个同步的提示,有一个缓冲期,打开原设备会有提醒。

这就像我们登陆微信一样,一个微信号只能登陆一台手机,如果被盗自己的手机会被迫下线。

这样的情况下,用户就会第一时间察觉自己的账号出现了状况。从而,可以第一时间处理账户资产,防止损失。

最后,对于币圈小伙伴的手机安全做个总结:

1,IOS用户可以下载一个叫做“Pin”的剪贴板管理软件,它可以在用户授权的情况下,进行剪贴板监控;

2,小米的安卓用户可以尽快升级MIUI12,最新系统有对剪贴板读取/写入的监控开关;

3,尽可能用原厂原生软件,特别是手机浏览器,用起来并不比其他的差;

4,安卓手机不要手贱为了某个功能去Root(破po解jie),IOS不要越狱,能不装的软件就不要装;

5,读取/写入权限,能不开就不开,需要的时候打开即可,包括图片、通讯录、麦克风等;

6,选择MYKEY钱包,只有一次打开私钥的机会,但你可以通过紧急联系人找回账户;

7,少打开钱包,尽量别复制私钥,比如Imtoken和MeetOne钱包,就可以第二次打开ETH和EOS的私钥,还是挺危险的。

(PS:MYKEY没给我充值)

—-

编译者/作者:冰棒

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...