EverSurf是一个跨平台的消息应用和区块链浏览器,也是Everscale区块链的加密货币钱包。该应用使用ReactNative开发框架编写,并上传到了GooglePlayMarket和AppleStore应用市场。此外,还有一个可运行在任意平台的EverSurf web版本。
漏洞分析: Surf钱包中用于对交易进行签名的密钥只保存在用户设备上。所有的区块链操作都是在客户端上执行的,因此无需注册。 当用户第一次运行应用时,会被建议创建一个新的钱包。Surf会生成一个seed词组和公私钥对。同时,用户会被要求创建一个6位数字的PIN码。 该PIN码用于登录应用和确认交易,Surf还有一个保护机制来防止暴力破解PIN码。
然而,即使没有保护机制,创建的密钥和seed词组也保存在浏览器的本地存储中。本地存储是使用特征从JS访问的key-value存储。而且本地存储在web浏览器中并不受保护, 可以通过物理或恶意软件访问用户计算机来获取这些数据。此外,本地存储还可以被浏览器扩展访问,从而泄露保存的数据。
为了保护用户的资金,Surf应用会在用户输入正确PIN码后加密seed词组并显示出来。然而,研究人员发现了一个函数,可以通过暴力破解PIN码来获取加密的keystore。在测试中,研究人员成功地破解了一个6位PIN码并解密了seed词组。
Checkpoint研究人员已将该漏洞报告给了EverSurf的开发者,开发团队发布了修复该漏洞的桌面版。当前的web版本仅用于开发目的,使用seed词组的账户不在其中使用。
