IM 통합 디지털 지갑 앱 BiYong, 심각한 개인 정보 보호 및 개인 위험에 노출

[업데이트 : (2018–06–05) Biyong의 최신 버전이보고 된 문제를 해결했습니다! 책임감 있고시기 적절한 업그레이드에 대해 Biyong 팀에게 감사드립니다!]

디지털 지갑은 사용자를위한 디지털 자산 관리에 필수적인 기능을 제공하며 r 사용자를 위해 광범위한 블록 체인 생태계의 핵심 기둥으로 간주됩니다. 오늘날의 모바일 앱 시장에는 디지털 자산 관리를위한 뛰어난 편의성과 서비스를 제공하는 지갑 지향 모바일 앱 (예 : Exodus 및 imToken)이 상당히 많습니다. 그러나 다른 모바일 앱과 달리 디지털 지갑은 특히 EU GDPR (일반 데이터 보호 규정)의 시행으로 인해 개인 정보 보호 및 보안을 강화하기 위해 더 엄격한 요구 사항과 더 높은 표준에 직면 할 수 있습니다.

최근 PeckShield의 연구원들은 모바일 앱 기반 디지털 지갑을 조사하고 잘 알려진 블록 체인 기반 IM 앱인 BiYong (중국어로 “币 用”)을 발견했습니다. 모바일 사용자. 이 특정 앱은 블록 체인 사용자, 커뮤니티, 미디어, 자산, 애플리케이션 등을 연결하는 소셜 네트워크를 구축하여 블록 체인 세계에서 “WeChat”이되는 것을 목표로합니다. Telegram과 원활하게 상호 작용하는 기능을 제공 할뿐만 아니라 디지털 지갑 기능도 제공합니다. 자산 양도 또는 지불을 위해. 하지만 분석에 따르면 비용은 사용자의 개인 정보를 관리하고 수집하는 데있어 높은 기준을 지키지 못하고 있습니다. 특히이 앱은 Telegram에서 사용자 ID (예 : Telegram ID 및 이름), 전화 번호, 심지어 결제 비밀번호까지 수집하여 일반 텍스트로 BiYong 서버에 업로드합니다! 사용자 개인 정보를 침해하고 사용자 개인 정보 보호 및 가명 유지를위한 블록 체인의 기본 정신에 불복종하므로 완전히 용납 할 수 없다고 생각합니다.

상세 분석

주요 앱 시장에서 다운로드 한 BiYong의 Android 앱 최신 버전을 살펴 봅니다. 기본 정보는 다음과 같습니다.

앱에서 디 컴파일 된 코드 로직을 살펴본 결과 BiYong의 앱에 심각한 개인 정보 유출이 있음을 발견했습니다. 첫 번째 유출은 성공적으로 로그인 할 때마다 uploadUserInfo () 를 호출하는 LoginActivity 에서 발견되었습니다.

그림 1에 표시된 것처럼 uploadUserInfo () 는 사용자의 ID (예 : Telegram ID / 이름)와 전화 번호를 v3 이라는 로컬 변수로 수집합니다. 그런 다음 v3 의 콘텐츠가 사전 정의 된 URL 인 UrlConfig.URL_USER_UPLOAD 에 업로드됩니다. 그림 2에 표시된 것처럼 UrlConfig.URL_USER_UPLOAD 는 BiYong이 소유 한 비공개 도메인 인 https://www.biyong.info/app/user/upload 를 가리 킵니다. p>

또한 사용자가 암호 화폐를 전송할 때 sendOutToServer () 를 호출하는 RollOutActivity 에서 또 다른 유출을 발견했습니다.

그림 3에 표시된 것처럼 일반 텍스트 비밀번호는 v3.trxPassword 에 저장됩니다. 나중에 v3 의 콘텐츠가 UrlConfig.URL_OUT_SUBMIT 에 다시 업로드됩니다. 분석 (그림 4)에 따르면 UrlConfig.URL_OUT_SUBMIT 는 BiYong이 소유 한 또 다른 도메인 인 https://www.biyong.info/app/wallet/withdraw/create 를 가리 킵니다. .

유출 된 비밀번호의 길이는 6 자리입니다. 예를 들어 신용 카드, Alipay, WeChat 등과 같은 많은 결제 방법은 6 자리 암호를 사용합니다. 많은 사람들이 다양한 결제 방법에서 동일한 암호를 사용할 수 있기 때문에 공격자가 다음을 얻을 수있는 경우 매우 위험합니다. 피해자의 전화 번호와 함께 6 자리 비밀번호를 보관합니다.

요약

요약하면 의도적으로 내장 된 기능이든 끔찍한 실수 든 이러한 유출은 기본 소프트웨어 보안에 대한 인식 부족을 반영합니다. BiYong은 특히 최신 GDPR 시행을 통해 높은 기준을 유지하고 사용자의 개인 정보를 보호 할 책임을 져야합니다.

미국 정보

PeckShield Inc.는 업계 최고의 서비스 및 제품 (예 : 스마트 계약 감사)을 제공하여 현재 블록 체인 생태계의 보안, 개인 정보 보호 및 유용성을 높이는 것을 목표로하는 블록 체인 보안 회사입니다. Telegram, Twitter 또는 이메일로 문의하십시오.