metamask:慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析_BLOC

慢雾发布iCloud用戶的MetaMask钱包遭遇钓鱼攻击简析。称首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMaskiOSApp端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup="false"来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

https://github.com/MetaMask/metamask-mobile/blob/main/android/app/src/main/AndroidManifest.xml#L17

MetaMaskiOS端代码中没有发现存在这类禁止钱包数据(如KeyStore文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标iCloud里恢复MetaMaskiOSApp钱包的相关数据。

慢雾安全团队经过实测通过iCloud恢复数据后再打开MetaMask钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。

iOSApp端在代码上如何避免iCloud自动备份钱包App中的数据可以参考：

https://developer.apple.com/documentation/foundation/optimizing_your_app_s_data_for_icloud_backup

标签：metamaskBLOBLOCLOCmetamask中文版手机下载Welups BlockchainBlockMeshFinance Blocks

狗狗币价格热门资讯