有用户通过苹果商店下载的假冒APP损失17枚比特币 苹果表示将会调查
Trezor是捷克的加密资产硬件钱包,即该钱包有实体硬件并可以通过USB连接到电脑解密数据并进行资产管理等。
日前有用户通过苹果应用商店下载同名的APP,该用户意味着是配套应用所以果断下载并放心输入自己的助记词。
随后用户发现自己账号的17.1 枚比特币被转走,到这里该用户才发现这个所谓的 Trezor 其实是假冒的恶意软件。
事实上这款硬件钱包基于安全考虑仅支持通过USB连接没有配套应用,因此网上出现的所有同名应用都是假冒的。
这里需要提下此类硬件钱包的工作流程,钱包核心在于数据即钱包文件,只有同时拥有钱包文件和密码才可解密。
但这样的话岂不是硬件钱包丢失后加密资产也会丢失?基于这种考虑比特币核心钱包等采用助记词作为额外保障。
助记词是钱包生成的多个单词相当于是个密钥,任何人只要拥有完全匹配的助记词就可以提取钱包相当找回密码。
用户下载的这款假冒应用则仿照官方口吻要求用户连接钱包,即要求用户输入完整的助记词以便检查钱包的余额。
超过 8 名受害者都没有怀疑将助记词输入 , 经过一段时间后这些受害者将硬件钱包连接电脑发现比特币全部消失。
这就是背后的攻击者收到助记词后直接将所有比特币提取,毕竟这又不是银行账户没有短信通知所有用户没察觉。
外媒调查发现目前在苹果和谷歌商店里有多款仿冒硬件钱包的应用,这些应用无一例外的都是想盗取用户的余额。
按理说苹果以及谷歌不应该对应用进行更仔细的审核吗?为什么这类恶意应用还可以堂而皇之的登陆应用商店呢?
当用户向苹果投诉后但得到苹果不负责任的答复,显然苹果不会就这类问题产生的潜在损失向用户进行任何赔偿。
苹果经过初步调查发现黑客伪造资料向该公司提交上架申请,并且应用描述是保险箱类应用可以加密用户文件等。
待审核上架后开发者通过控制服务器进行远程更改将其变成加密钱包应用,然后诱导用户输入自己的钱包助记词。
至于这件事如何处理暂时还不清楚,但苹果是肯定不会赔钱的,这些受害者也可能会联合起来起诉苹果要求赔偿。