随着TikTok的“间谍软件”谣言漩涡 加密应用的安全性备受关注

在过去的几周中，TikTok已因安全问题陷入困境。首先，它与58种中国应用程序一起在印度被砍掉，用于“以未经授权的方式窃取并秘密传输用户数据”。后来，在美国与中国关系步履蹒跚的背景下，它成为特朗普政府的主要目标，甚至被富国银行和亚马逊员工禁止使用，后者后来又重述了这一消息，称其无意禁止使用TikTok。

尽管对TikTok的数据收集习惯的谴责似乎主要是出于地缘政治原因-其最严厉的批评家指责该应用程序是中国共产党的间谍软件-但一些研究表明，TikTok在隐私和安全性方面与西方应用程序没有太大区别。安全性，Facebook–Cambridge Analytica数据丑闻无疑是最明显的例子。

可以肯定地说，此时，用户数据已成为主流应用程序的主要商品，但是流行的加密应用程序又如何呢？

网络安全仍然是加密货币和区块链空间的主要弱点。每年，黑客都设法从加密货币交易所和无知的投资者中提取越来越多的钱，而技术本身和隐私硬币的紧急情况使犯罪分子保持相对匿名。

但是，数据收集则略有不同。与黑客不同，它属于灰色监管区域。“私人数据”是一个相当抽象的概括性术语，通常，用户在下载应用程序并批准其条款和条件时同意收集数据。但是，他们通常不知道他们允许该应用程序访问哪种数据-有时不仅限于他们的电子邮件地址和大概位置。

网络安全机构Zokyo Labs的首席执行官兼联合创始人Hartej Sawhney在与Cointelegraph的电子邮件对话中说：“在针对性广告方面，移动应用通常非常“艰难”。” 他接着说：“即使没有使用移动应用程序，许多应用程序也会跟踪用户。此外，甚至有人担心应用程序会访问您手机的麦克风。”

确实，Binance最近发生了一个类似的故事。本初，Twitter用户Sherpa 在推文中发布了证书颁发者的屏幕快照，显示其Android应用程序中顶级加密货币交易所要求的权限包括对摄像机的访问权限和录制音频的能力。当时，Binance的首席安全官告诉Cointelegraph，摄像机是在KYC验证过程中使用的，并强调“在Binance应用程序内部开发的代码肯定不使用麦克风。”

后来，Binance首席执行官赵昌鹏表示，他要求团队审查代码，并向Cointelegraph澄清，Binance选择删除音频录音许可，并“保持最低限度的其他许可，以使用户放心。”

CZ还共享了该应用程序更新版本的权限列表，与Sherpa发布的屏幕截图相比，这似乎更加注重隐私。此外，赵强调，币安不会出售“任何形式的用户数据，例如将KYC数据与区块链分析打包在一起”。

正如CZ先前对Cointelegraph所说的那样，可以访问用户剪贴板数据的应用程序对用户的安全构成最大的威胁，因为它们可能会窃取其私钥。隐私权混合网Nym Technologies的首席执行官哈里·哈尔平（Harry Halpin）向Cointelegraph证实：“要求您提供关键材料的大多数加密应用程序都可以简单地窃取您的资金，而您相信他们不会这样做。”他补充说：“任何托管服务显然都可以窃取您的资金。您的加密货币。”

硬币盗窃是与加密货币应用（尤其是钱包应用）相关的主要风险之一。信息安全公司SecurityScorecard的首席研发官Alex Heid在与Cointelegraph的对话中补充说：

“众所周知，攻击者会使用恶意软件，受损的开发人员资料库和社会工程学来获取易受攻击用户的钱包和私钥。过去发生过这样的例子，例如，移动应用商店中不断出现流氓应用程序的灾难，2018年通过受损的JavaScript库对Copay钱包的攻击，以及2019年对Electrum节点消息服务器的攻击。”

加密应用程序在数据收集方面是否与主流软件有所不同？专家意见分歧。Heid解释说：“加密应用程序的性质在很多方面与其他金融应用程序非常相似，”他说：“通常要求用户提供识别信息以符合KYC / AML要求。在过去的情况下，攻击者已从成功的加密货币服务黑客中获取了KYC / AML数据。”

比特币奖励应用程序Lolli的联合创始人兼首席技术官马特·森特（Matt Senter）告诉Cointelegraph，“比特币应用程序中撒谎，作弊和偷窃的动机比传统应用程序要高得多”，但他警告说“用户应保持警惕应用类型。”

Halpin说，如果加密货币应用程序没有比其他应用程序更多的恶意软件和监视功能，他将被“震惊”，因为加密货币必须处理钱。他补充说：“将加密货币发送到公共分类账可以让任何人监视您的交易。”

借贷平台Kava Labs的首席执行官Brian Kerr告诉Cointelegraph，“与加密交易应用程序的数据相比，他更关心的是从Robintech等金融科技应用程序和Zoom之类的商业通信应用程序共享的数据。”

但是使用加密应用程序时如何保持安全呢？Senter认为，在使用行业应用程序或处理一般数字资产时，必须了解加密货币的基本知识。Senter 以最近的Twitter骇客为例：

“不了解比特币的工作原理的用户有完全失去所有比特币的危险。最近，我们在Twitter上看到了一次攻击，有人被诱骗将资金移交给一个随机地址。尽管不是比特币应用程序，但Twitter攻击确实凸显了缺乏了解。”

根据Senter的说法，不具有用户友好界面的加密应用程序无法通过交易验证引导其客户“让人们毫无疑问地怀疑他们的资金是否安全”。他警告说，还有一些类似的应用程序，并指出这些威胁“可以通过对比特币的教育和良好的安全性而轻松缓解。”

但是，“用户几乎不可能审查应用程序的隐私和安全性，” NYM Technologies的Halpin说道，并补充说：“即使开发人员也经常会构建他们认为安全且私有的技术并将其搞砸。” 他还对以下假设表示怀疑：与集中式公司开发的解决方案相比，分散式应用程序至少在当前状态下提供了更高的安全性：

“通过您的应用程序信任随机的人群比单个第三方更安全吗？为了下放权力，我们需要加强问责制和实际下放权力。我在区块链领域看到的大部分是去中心化剧院。”

因此，Halpin得出结论，最好是从“信誉良好的第三方”那里获得建议，例如在用户资金或个人数据遭到破坏之前，具有良好发现和修复漏洞的良好记录的学者或行业公司。