Тэхналогія блокчэйн хутка выходзіць за рамкі традыцыйных платформаў, наносячы адбітак на мабільныя платформы, вобласць CertiK, фірма па бяспецы блокчэйнаў, разглядае як «мяжу інавацый». Аднак гэты пераход не пазбаўлены праблем. Мабільныя платформы атрымалі ў спадчыну шэраг перашкод бяспекі, якія пагражаюць перашкодзіць бесперабойнай працы тэхналогій блокчейн на гэтых прыладах. 31 кастрычніка 2023 г. CertiK акрэсліў серыю твітаў, раскрываючы панараму пагроз разам з адпаведнымі мерамі абароны ў экасістэме мабільнага блокчейна.
Першы з серыі твітаў акрэсліў пагрозу, якую нясуць шкоднасныя праграмы і праграмы-вымагальнікі. Гэта шкоднаснае праграмнае забеспячэнне накіравана на криптовалютные кашалькі на мабільных прыладах, каб альбо выводзіць сродкі, альбо шыфраваць даныя, патрабуючы выкуп за расшыфроўку. CertiK параіў падтрымліваць некранутае асяроддзе прылады, выкарыстоўваючы аўтарытэтныя рашэнні бяспекі для адхілення такіх пагроз.
Наступны твіт падкрэсліў рызыкі, звязаныя з небяспечнымі праграмамі кашалька. Гэтыя падманныя або неабароненыя прыкладанні, даступныя ў крамах прыкладанняў, уяўляюць значную небяспеку для лічбавых актываў. Карыстальнікаў перасцерагаюць ад спампоўкі такіх прыкладанняў і раяць выбіраць бяспечныя і аўтарытэтныя кашалькі, каб знізіць рызыкі для іх лічбавых актываў.
Дыскурс CertiK перайшоў да замены SIM-карт, метаду, які выкарыстоўваецца зламыснікамі для захопу тэлефонных нумароў, атрымання кантролю над кодамі аўтэнтыфікацыі і ўліковымі запісамі. Каб супрацьстаяць гэтаму, фірма па бяспецы блокчейна выступае за выкарыстанне шматфактарнай аўтэнтыфікацыі, якая дадае дадатковы ўзровень бяспекі, што робіць зламыснікам цяжкім атрымаць несанкцыянаваны доступ.
Адным з прыкладаў праблемы бяспекі пры замене SIM-карты з'яўляецца нядаўняе абнаўленне Google дадатку Authenticator, якое падкрэслівае складанае ўзаемадзеянне паміж зручнасцю і бяспекай у лічбавай сферы. Нядаўняе абнаўленне праграмы Google Authenticator, якая цяпер захоўвае «аднаразовы код» у воблачным сховішчы, успрымаецца некаторымі як палка аб двух канцах у барацьбе з кіберпагрозамі, такімі як замена SIM-карты. Нягледзячы на тое, што гэты падыход да воблачнага сховішча накіраваны на прадухіленне блакіроўкі карыстальнікаў з іх сістэм двухфактарнай аўтэнтыфікацыі (2FA), крытыкі сцвярджаюць, што гэты падыход да воблачнага захоўвання патэнцыйна можа стварыць шчыліну для кіберзлачынцаў. Замена SIM-карты, распаўсюджаная тэхніка сярод выкрадальнікаў ідэнтыфікацыйных дадзеных, заключаецца ў тым, што падманам прымушаюць аператараў сувязі пераназначыць нумар тэлефона ахвяры на новую SIM-карту, якая належыць зламысніку. Гэтая тактыка можа даць злачынцам доступ да вялікай колькасці канфідэнцыйнай інфармацыі і кантроль над кодамі 2FA, адпраўленымі праз SMS, ствараючы значную небяспеку для карыстальнікаў. З новым абнаўленнем, калі б хакер узламаў пароль Google карыстальніка, нібыта бяспечная праграма Authenticator магла б стаць шлюзам для некалькіх праграм, звязаных з аўтэнтыфікатарам. Такім чынам, нягледзячы на сваю зручнасць, функцыя воблачнага сховішча можа ненаўмысна павялічыць рызыкі, звязаныя з заменай SIM-карт і іншымі кібератакамі, што падкрэслівае неабходнасць для карыстальнікаў вывучыць дадатковыя меры бяспекі.
Яшчэ адной пагрозай бяспецы было прызнана ўзаемадзеянне са староннімі службамі. Такое ўзаемадзеянне можа падвергнуць карыстальнікаў дадатковым рызыкам бяспекі. CertiK заклікаў праяўляць асцярожнасць і апекаваць надзейныя платформы, каб мінімізаваць рызыкі, звязаныя з узаемадзеяннем старонніх сэрвісаў.
Фірма праліла святло на ўразлівасці, уласцівыя мабільным аперацыйным сістэмам, якія патэнцыйна могуць паставіць пад пагрозу бяспеку блокчейна на мабільных прыладах. У якасці процідзеяння гэтай пагрозе было рэкамендавана абнавіць аперацыйную сістэму для выпраўлення існуючых уразлівасцей.
Нарэшце, CertiK адзначыў уразлівасці сеткі, асабліва пры падключэнні да небяспечных сетак Wi-Fi і грамадскіх кропак доступу. Такія злучэнні могуць падвергнуць мабільныя прылады магчымым пагрозам. У якасці абароны ад уразлівасцяў сеткі было прапанавана пазбягаць небяспечных сетак і публічных кропак доступу або выкарыстоўваць бяспечныя віртуальныя прыватныя сеткі (VPN).
Крыніца выявы: Shutterstock
Крыніца: https://blockchain.news/news/certik-outlines-mobile-blockchain-security-threats-and-countermeasures