安卓密币钱包app是一场即将发生的安全灾难

翻译：360代码卫士团队

瑞士网络安全公司High-Tech Bridge发布报告指出，大多数谷歌官方应用商店上旨在管理密币的安卓移动app都易受最常见也最为人所知的漏洞影响。

报告通过本月发布的一款免费web移动app扫描器Mobile X-Ray扫描了最热门的密币管理app。这款扫描器能执行静态和动态分析测试，以及针对隐私和恶意功能开展简单的行为测试。

研究人员使用MobileX-Ray扫描了90款热门的安卓密币管理app，查看它们是否易受常见漏洞和多个弱点的影响，结果发现超过90%的app“可能有麻烦”。

其中一些缺陷可成为安卓银行木马利用链的自动化部分。随着比特币和其它多种密币的交易价格再创新高，这些app中的缺陷导致用户易被盗并遭受其它金融欺诈。

含有已知漏洞的app，包括硬编码的API密钥和密码在内，并未使用加密，因此易受中间人攻击。

研究人员发现的漏洞类型说起来其实有点不可思议，因为毕竟安全专家们几乎在十年的时间里就一直在讨论这些问题。

尽管如此，它也并非极端例子，这些缺陷类型也常见于所有类型的移动app中，而不一定只是存在于密币app中，比如银行、医保、约会和股票交易app。

总而言之，报告再次显示这个问题深藏在安卓app开发社区，而在这个社区中，安全从来就不是优先考虑的因素。

High-Tech Bridge公司的首席执行官兼创始人Ilia Kolochenko指出，“很遗憾，我对研究结果丝毫不感到惊讶。多年来，网络安全公司和独立专家一直在告知移动app开发人员注意‘敏捷’开发所带来的风险，因为这种开发方法中通常并不存在能够确保设计和编程安全的框架以及强化技术或应用安全测试。”

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.bleepingcomputer.com/news/security/android-cryptocurrency-wallet-apps-are-a-security-disaster-waiting-to-happen/