身为深度投身于钱包测试工作当中的技术人员,我察觉到普通用户对于imToken钱包的安全性存有不少误解,安全并非全黑或者全白的简单状态,而是得从多个不同维度进行综合评估,接下来我依据实测数据去给大家剖析imToken钱包在下载阶段、安装阶段以及使用阶段这三个方面的安全表现。
下载渠道的安全性测试
我们对普通用户的三种下载场景作出了模拟,于官网进行下载之际,数字签名验证得以通过,哈希值比对呈现为完全一致,然而在第三方应用商店却发现了两个山寨版本,这两个山寨版本安装包体积相较于正版小3MB,并且申请了通讯录权限,建议用户一定要经由官网下载,下载完成之后核对开发者为“imToken Pte. Ltd.”。
安装后的权限检测
通过运用逆向工程工具展开分析从而发现,正版的imToken仅仅申请了用于导入导出钱包的存储权限,以及用于扫描二维码的相机权限,在与市面主流钱包进行对比时,其权限数量是最少的,在测试期间还发现,当系统处于root状态之际,App会弹出安全警告,这样的主动防御是值得给予肯定的。
交易签名安全验证
我们打造了钓鱼网站来开展实战测试,当用户于伪造的DApp发起交易之际,imToken的钱包界面会明晰展现收款地址、金额以及Gas费,并且在签名前得进行二次确认。测试机试着授权恶意合约之时,系统径直拦截并给出提示“高风险操作”,此一机制切实防范了资产被盗取。