区块广播:

Coinomi钱包爆出严重bug:密语被上传至Google在线拼写检查服务

BurntCoins副船长发布在 技术交流
 12975  27
https://www.avoid-coinomi.com/
https://www.reddit.com/r/CryptoCurrency/comments/av7gfi/warning_coinomi_wallet_critical_vulnerability/
https://bitcointalk.org/index.php?topic=5114708.0

不过这个事情看上去有疑点:即便密语确实被发送到Google的服务器了,也是走HTTPS加密连接的,也就是说应该只有Google有可能知道密语(而且Google也未必保存了数据,毕竟每天发给他们检查拼写的数据太多了)。
  • 正序
  • 最新
只看帖主楼层直达
  • revotu 船员 2019-02-27 22:03:25 来自App只看该作者沙发
    有意思
  • BurntCoins 副船长 2019-02-27 23:50:15 只看该作者板凳
    Coinomi官方回应了:
    https://medium.com/coinomi/official-statement-on-spell-check-findings-547ca348676b

    简而言之:
    1.移动App不受影响,只有桌面版受影响
    2.那个拼写检查请求是非法的,会被Google报错HTTP 400 Bad Request,所以Google应该也没有处理含有密语的拼写检查请求
    3.只有在桌面钱包手动输入密语恢复才会受到这个问题影响
  • 大神我想问下比特派钱包安全吗,不是比太,是比特派
  • BurntCoins 副船长 2019-02-28 10:43:21 来自App只看该作者5楼
    接盤不忘出貨人 发表于 2019-2-28 04:46 大神我想问下比特派钱包安全吗,不是比太,是比特派
    应该是安全的,反正我是没听说过比特派有出过安全事故。和比太也是同一个团队,算是老资格了吧。不过比特派会上传主公钥,如果你比较“硬核”,可能会不喜欢这个设定,因为上传主公钥等于让比特派有能力看到你的交易记录,而且如果你做了KYC实名验证,和主公钥也都是关联在一起的。
  • 洒脱一点嘻 船员 2019-02-28 11:12:43 来自App只看该作者6楼
    BurntCoins 发表于 2019-2-28 10:43 应该是安全的,反正我是没听说过比特派有出过安全事故。和比太也是同一个团队,算是老资格了吧。不过比特 ...
    那不kyc没关系吧?
  • BurntCoins 副船长 2019-02-28 11:56:21 来自App只看该作者7楼
    洒脱一点嘻 发表于 2019-2-28 11:12 那不kyc没关系吧?
    不KYC主公钥也是上传了的……只是没关联实名认证而已。有主公钥不能动币,但是可以知道哪些地址是属于同一个人的,等于可以看到交易记录。
  • BurntCoins 副船长 2019-02-28 11:57:54 来自App只看该作者8楼
    洒脱一点嘻 发表于 2019-2-28 11:12 那不kyc没关系吧?
    其实比特币的隐私性本来就不是太好,但凡是轻钱包多多少少都会泄露一点“哪些地址是属于同一个人”的信息。全节点要好一些,但是毕竟交易记录都在公开的区块链上,谁都可以查啊。
  • BurntCoins 副船长 2019-02-28 12:04:44 来自App只看该作者9楼
    洒脱一点嘻 发表于 2019-2-28 11:12 那不kyc没关系吧?
    比特币之所以要推荐用户每交易一次就换一个地址,有一个原因就是隐私。如果每笔交易都让找零和真正的收款输出无法区分,那就很难进一步追溯,然而实际上不太容易做到这一点。有的钱包支持coinjoin混币(比如wasabi),可以阻碍追溯资金去向;还有的钱包支持多找零输出、找零输出取整(electrum),或者是richochet(samourai),也可以让交易更难追溯。
  • 洒脱一点嘻 船员 2019-02-28 12:57:58 来自App只看该作者10楼
    BurntCoins 发表于 2019-2-28 12:04 比特币之所以要推荐用户每交易一次就换一个地址,有一个原因就是隐私。如果每笔交易都让找零和真正的收款 ...
    哦。就是隐私性可能会有所降低,但是不涉及安全对吧?
  • BurntCoins 副船长 2019-02-28 20:14:13 来自App只看该作者11楼
    洒脱一点嘻 发表于 2019-2-28 12:57 哦。就是隐私性可能会有所降低,但是不涉及安全对吧?
    是的……如果比特派很有节操、不会泄露数据,或者说你不觉得“露富”是个问题的话……
  • BurntCoins 副船长 2019-02-28 20:15:58 来自App只看该作者12楼
    洒脱一点嘻 发表于 2019-2-28 12:57 哦。就是隐私性可能会有所降低,但是不涉及安全对吧?
    如果比特派泄露数据了,大概就是新的币圈富豪榜,哈哈
  • 洒脱一点嘻 船员 2019-03-02 19:01:30 来自App只看该作者13楼
    BurntCoins 发表于 2019-2-28 20:15 如果比特派泄露数据了,大概就是新的币圈富豪榜,哈哈
    那就不kyc呗。不过我看在哪买币也都得kyc,你知不知道可以纯匿名买币的地方呢
  • 比太钱包 版主 2019-03-02 20:36:32 来自App只看该作者14楼
    比特派的安全级别在热钱包里大家还是放心吧,比太团队六年无一起安全事故,这背后其实是技术底蕴决定的哈。
    关于KYC,如果用人民币买卖币的话,的确需要KYC,不买卖就不用。这里要给大家强调一点,不要去KYC不严格的平台买卖币,哪些钱会喜欢不严格的KYC,您懂的。
    想要绝对的安全,那应该用比太冷钱包,或者是比特护盾硬件钱包哈,其中,二者都有一些特殊的设计,很多用户和业内团队都不能懂,但都是有原因的。比如说,比太使用的是我们自己开发的钱包内输入法,您明白是为什么了吗?还有就是比特护盾使用密语恢复的时候,是要求您按屏幕上显示的步骤操作,密语打乱次序,还增加了很多不相关单词,您又明白这一设计的目的是什么吗?
    为什么我们一直在强调硬件钱包必须得有屏幕呢?
    所有这些,其实都是因为我们团队对于钱包安全的理解更深哈,安全容不得马虎,需要加倍努力才行哈!
  • 甘少 副船长 2019-03-02 22:09:07 只看该作者15楼
    有点意思了,看样子我的私钥要被输入法盗取了。
  • BurntCoins 副船长 2019-03-03 11:16:04 只看该作者16楼
    洒脱一点嘻 发表于 2019-3-2 19:01 那就不kyc呗。不过我看在哪买币也都得kyc,你知不知道可以纯匿名买币的地方呢
    我不知道……场外小额应该可以买,不过很显然会比较贵。
    想匿名的话就搞点别的措施,比如用wasabi wallet的coinjoin混一下币,发交易的时候用tor
    楼层直达
  • 1
  • 2
登录 账号发表你的看法,还没有账号?立即免费 注册