日前,区快链安全研究中心BSRC发布了针对清华大学“数字货币钱包校园版”的黑盒审计报告,该应用由清华大学计算机系与中国银联、阿尔山金融科技联合推出,并在校内咖啡馆开启实际应用。
报告显示,此次共发现中等安全问题2处、严重安全问题3处,包括本地存储的敏感数据未加密、未进行HTTPS证书绑定、用户敏感信息以明文传送等。
BSRC团队表示,这些问题可能会导致包括用户手机号码、钱包公钥、私钥和地址等等敏感信息的泄露,从而造成财产损失。建议该APP所有本地文件权限都要设置正确,且敏感、重要的信息要先加密后存储;对敏感信息进行加密后传输,对HTTPS证书进行绑定。