前些天有人的 Coinbase 账号遭遇了 SIM 转移攻击,损失超过 10 万美金的数字货币,有用户联想到 Mixin Messenger 也是用手机号登录会不会也有这个风险,这里做一下说明。
SIM 卡攻击
针对 Mixin Messenger 的用户进行短信劫持或 SIM 卡转移攻击都是无利可图的,就算成功获得了账号的登录权限也无法转移里面的任何资产,甚至连钱包的界面都进不去,所有资产相关的操作都会验证 PIN ,例如转账、提现、添加修改提现地址等,连更换手机号都要验证 PIN,攻击者什么也做不了。
Mixin Messenger 的钱包界面每 24 小时会校验一次当前用户的 PIN,无法跳过或取消
Wi-Fi 劫持
- Mixin Messenger 所有 API 都使用 https 安全协议
- Mixin Messenger 的 PIN 都会经过客户端本地公钥加密再在网络上传输的,每次加密结果都不一样,就算数据被拦截了没有私钥也无法解密。
Mixin Messenger 客户端完全开源也充分说明了该机制的安全性
手机键盘被监听
Mixin Messenger 的 Android 和 iOS 都使用了自定义的键盘,没有使用系统或者第三方输入法。
PIN 攻击
Mixin Messenger 的 PIN 虽然是 6 位数字密码,但是有 1 百万种组合,并且有严格的时间锁,24 小时内如果 PIN 错误 5 次即被锁定 24 小时,接下来的 24 小时不管输入是不是正确的 PIN 都会提示 PIN 错误,重试次数过多时间锁时间更长。这个很好理解,我们的银行密码也是 6 位数字,便于记忆,通过时间锁来防止暴力破解。
如果真的忘记了 PIN ,建议把所有试过的密码都写下来,每 24 小时重试 5 次,注意客户端已经屏蔽了一些简单的密码,例如:123456、111222、333444 等只有两种数字组合而成的密码,在设置密码的时候都会提醒密码过于简单,所以这些就不要试了。
网友评论