链圈的人应该对「电报群」(Telegram)不生疏,由于在国内被河蟹,因此有人做了一个「可以科学上网的Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键参加各大主流区块链社群。
然而,这款号称要做「区块链范畴的微信」的产品,近来被爆出了严峻的隐私漏洞
。
数字钱包是区块链生态生意业务中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一样平常App差别的是,加密钱包类App需要面对更严格的安全检察,并拥有更高的隐私葆护的尺度。GDPR(EU General Data Protection Regulation,欧盟民众数据葆护条例)更是出台了一系列的法例。
近来,区块链安全公司PeckShield(曾曝出多个ERC20漏洞!)对多个移动App的钱包产品进行检测,发现了BiYong的安全问题。
这个拥有三百万月活用户,以交际为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链范畴的微信的App,不但支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,好像太大意了。
他们竟然将搜集到的用户在Telegram上的隐私信息!(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!
这一做法着实令人大跌眼镜,不但是安全防备意识差,也违反了区块链技能的头脑。
安全问题技能细节
首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:
在对App的代码进行反编译后,发现该App在用户登陆過逞中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都市被上传。以下是搜集用户信息的代码片断。
如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「
v3
」的变量,然后v3将这些信息上传给一个URL链接,即:
UrlConfig.URL_USER_UPLOAD
。
从下面这段代码可以看出,
UrlConfig.URL_USER_UPLOAD
指向的地点是:
https://www.biyong.info/app/user/upload
,
而这个地点正是属于BiYong的私有地点。
不但如此,BiYong在RollOutActivity的過逞中,还调用了
sendOutToServer()
参数。用户在对加密钱币进行转账时,支付密码会以明文的方法存放在
v3.trxPassword
参数中,之后通报给:
UrlConfig.URL_OUT_SUBMIT
。
从下图可以看出,
UrlConfig.URL_OUT_SUBMIT
的地点指向:
https://www.biyong.info/app/wallet/withdraw/create
。
也是一个属于BiYong的私有地点。
结果大概比你想象的严峻
由于泄漏的密码是6位数,是一个很广泛的密码长度,许多人習慣在差别的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄漏,结果将不堪假想。
无论BiYong的这个漏洞是一时疏忽还是故意为之,这些漏洞都表明BiYong应该进步对于安全的认知,也应该增强安全品级,比方遵守GDPR的最新规定。
看来,区块链安全,任重而道远。
最新热文:
扫码参加区块链大本营读者群,群满加微信 17600222208 入群
理解更多区块链技能及应用内容
敬请关注:
biyong和telegram什么关系
欣赏:
11016
2018年5月29日 08:58
链圈的人应该对「电报群」(Telegram)不生疏,由于在国内被限定,因此有人做了一个「中国版Telegram」——BiYong,BiYong可以与Telegram全部数据互联,也可以一键参加各大主流区块链社群
然而,这款号称要做「区块链范畴的微信」的产品,近来被爆出了严峻的隐私漏洞。
数字钱包是区块链生态生意业务中不可或缺的工具,无论是管理加密资产,还是转账都至关重要,在应用市场中也可以看到不少这类产品的身影,如Exodus或imToken等。与一样平常App差别的是,加密钱包类App需要面对更严格的安全检察,并拥有更高的隐私葆护的尺度。GDPR(EU General Data Protection Regulation,欧盟民众数据葆护条例)更是出台了一系列的法例。
近来,区块链安全公司PeckShield(曾曝出多个ERC20漏洞!)对多个移动App的钱包产品进行检测,发现了BiYong的安全问题。
这个拥有三百万月活用户,以交际为主打(连接用户、社区、媒体、加密资产、应用……),号称要成为区块链范畴的微信的App,不但支持用户与Telegram无缝接入,也支持转账和付款。然而,就是这样一款产品,在用户隐私信息的收集和管理上,好像太大意了。
他们
竟然将搜集到的用户在Telegram上的隐私信息(用户ID、用户名、电话号码、支付密码),明文上传到自己的服务器!
这一做法着实令人大跌眼镜,不但是安全防备意识差,也违反了区块链技能的头脑。
安全问题技能细节
首先,PeckShield的研究员(以下简称「研究员」)在主流Android应用商店下载了BiYong的App。参数如下:
在对App的代码进行反编译后,发现该App在用户登陆過逞中会调用uploadUserInfo()参数,如论是否成功登陆,用户信息都市被上传。以下是搜集用户信息的代码片断。
如上面代码所示,uploadUserInfo()参数将搜集到的用户信息:Telegram ID/用户名、电话号码等,传给一个叫「v3」的变量,然后v3将这些信息上传给一个URL链接,即:UrlConfig.URL_USER_UPLOAD。
从下面这段代码可以看出,
UrlConfig.URL_USER_UPLOAD指向的地点是:
https://www.biyong.info/app/user/upload,
而这个地点正是属于BiYong的私有地点。
不但如此,BiYong在RollOutActivity的過逞中,还调用了sendOutToServer()参数。用户在对加密钱币进行转账时,支付密码会以明文的方法存放在v3.trxPassword参数中,之后通报给:UrlConfig.URL_OUT_SUBMIT。
从下图可以看出,
UrlConfig.URL_OUT_SUBMIT的地点指向:
https://www.biyong.info/app/wallet/withdraw/create。
也是一个属于BiYong的私有地点。
结果大概比你想象的严峻
由于泄漏的密码是6位数,是一个很广泛的密码长度,许多人習慣在差别的平台用同一个密码,如支付宝、微信支付等。因此一旦这个密码和手机号码同时泄漏,结果将不堪假想。
无论BiYong的这个漏洞是一时疏忽还是故意为之,这些漏洞都表明BiYong应该进步对于安全的认知,也应该增强安全品级,比方遵守GDPR的最新规定。
看来,区块链安全,任重而道远。
BiYong简介:
BiYong总部坐落在新加坡,致力于打造基于区块链技能的交际网络,并和Telegram互联互通,通过BiYong就能完备的使用区块链范畴的全部生态产品 。既能为用户提供社群的即时聊天,帮助每一个个体免费公布自己的资讯,让小白用户快速融入圈子,学习区块链底子知识,又能为项目方定制管理后台,接入互动游戏,群组直播,知识问答等功能,帮助项目方全方位的进行社区管理,同时生意业务网关买通环球主流生意业务所,实现一键兑换任何币种。
截至现在注册用户超越250万,环球已入驻社群总量超越3万个,包括火币、Okex、路印、量子、井通、波场、Mytoken、!Gifto、以太雾、Achain、Kcash等300+生意业务所和优质项目方,以及巴比特、金色财经,数字钱币趋势狂人、大炮评级,王团长,吴解区块链,蓝狐条记,币圈早知道等500多家业内媒体完成互助关系。
BiYong打造的应用开放平台连接区块链各大第三方应用,用户在BiYong就能直接使用如行情、轻钱包等种种特色功能。最终通过纳米丝专利技能、可擦除区块链技能、ACG!环状拓扑技能等把交际网络接入区块链网络,实现中心化和去中心化的交际网络的完美融合。最后会开放区块链即时聊天尺度协媾和集成SDK,让开发者轻松开发属于自己的区块链即时聊天产品。
我们的任务是连接区块链的全部产品、媒体和用户,打造一个区块链全球的超级交际网络,最终实现去中心化!
BiYong——区块链的必用APP!
本文网址:
http://www.1cm8858.com/d/2020617112159_9252_343975010/home
Ten articles before and after
telegram通用红包机器人开发框架MatatakiBotv0.3版本发布报告(、转账DICE)-电报telegram技巧分享
使用创建telegram机器人-电报telegram技巧分享
同样是聊天工具如何在没有用户名的情况下提及Telegram用户?-电报telegram技巧分享
telegram是什么意思的英语发音-电报telegram技巧分享
终局!Telegram发布更新:支援Chatbot即时支付功能-电报telegram技巧分享
电报的前世今生中国高等教育之父-电报telegram技巧分享
电报群组广播telegram超级福利群共享-电报telegram技巧分享
如何制作自己的电报贴纸TelegramStickers/搬运攻略-电报telegram技巧分享