【美国正调查 Binance Trust Wallet iOS 应用程序的漏洞】

【美国正调查BinanceTrustWalletiOS应用程序的漏洞】2024年02月15日06点10分老不正经报道，美国国家标准与技术研究院(NIST)正在分析iOS版本的BinanceTrustWallet应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，BinanceTrustWallet应用程序的特定版本“滥用了trezor-crypto库”来生成只能验证的助记词在熵源处。熵源是生成数据的物理位置。NIST指出，类似的漏洞在2023年7月被利用，导致经济损失。该信息于2月8日公开，目前正在等待分析以确定该漏洞的实际范围。

【苹果App Store上出现假冒Trezor的恶意应用程序Trezor Wallet Suite】

【苹果AppStore上出现假冒Trezor的恶意应用程序TrezorWalletSuite】6月20日消息，苹果AppStore上出现一款假冒Trezor的恶意应用程序TrezorWalletSuite，该应用已经上架了几周，可能已经窃取了数千人的资金。该恶意程序最初由TheCryptoLawyers的管理合伙人RafaelYakobi发现。Trezor的实际iOS应用程序被称为“TrezorSuiteLite”，使用户能够跟踪他们的投资组合并交易资产。如果用户忘记了钱包应用的登录细节，钱包供应商会要求他们离线存储种子短语。种子短语是最后一道防线，用户只能用它从钱包应用程序中收回资金。Trezor为用户提供了Shamir备份，以帮助他们生成多个种子短语，这些种子短语可以存储在不同的物理位置。下载应用程序后，用户可以选择一定数量的短语来解锁资金。例如，他们可以生成三个种子短语，但只需要两个就可以解锁他们的资金。而使用假冒的TrezorWalletSuite泄露种子短语的用户可能创建了一个种子短语。生成多个种子短语需要用户创建新的钱包。多个种子短语可以确保即使假冒应用获取了一个短语，它也无法访问用户资金。截至发稿时，这款假冒应用已成为英国区AppStore搜索量第二高的应用。快讯/广告联系@xingkong888885

Trust Wallet 应用程序的服务在 iOS 和 Android 上的下载量达到 5600 万次

TrustWallet应用程序的服务在iOS和Android上的下载量达到5600万次据Data.ai称，在全球范围内，TrustWallet应用程序的服务在iOS和Android上的下载量达到5600万次，使其成为移动设备上最受欢迎的加密钱包。其竞争对手MetaMask位居第二，下载量为4300万次。据Data.ai称，TrustWallet在印度的下载量约为850万次，在巴基斯坦的下载量约为350万次，其次是MetaMask。

iOS 版 Chrome 现在允许用户将网络应用程序添加到主屏幕

iOS版Chrome现在允许用户将网络应用程序添加到主屏幕苹果在iOS16.4中为网络应用程序引入了一系列新功能，包括访问推送通知以及允许第三方应用程序将网络应用程序添加到iPhone和iPad主屏幕。现在流行的网络浏览器谷歌Chrome正在利用这些新功能，其最新更新允许用户将自己喜欢的网站添加到iOS主屏幕。iOS版Chrome的最新更新提供了一个选项，允许用户将网络应用程序添加到主屏幕。这意味着任何人现在都可以保存网站以便在主屏幕上快速访问，当然这需要最新版本的Chrome以及运行iOS16.4或更高版本的设备。——

【CZ：Binance钱包和Trust Wallet不受Libbitcoin Explorer 3.x相关漏洞影响】

【CZ：Binance钱包和TrustWallet不受LibbitcoinExplorer3.x相关漏洞影响】2023年08月11日03点06分8月11日消息，CZ在社交平台上表示，支持自托管钱包，但前提是自己了解操作。LibbitcoinExplorer3.x版本的加密货币钱包存在的漏洞源于32位助记词的随机数生成器，这在现代破解技术（如GPU）面前并不足够随机。Trustwallet和Binance钱包并未在助记词生成中使用此方法。

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞

对多家中国公司的拼音键盘应用程序分析发现可能向网络窃听者泄露击键内容的漏洞我们（公民实验室）分析了常见云端拼音输入法的安全性，包含百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商，并分析了它们发送用户输入内容到云端的过程是否含有安全缺陷。分析结果指出，九家厂商中，有八家输入法软件包含严重漏洞，使我们得以完整破解厂商设计用于保护用户输入内容的加密法。亦有部分厂商并未使用任何加密法保护用户输入内容。综合本研究和我们先前研究中发现的搜狗输入法漏洞，我们估计至多有十亿用户受到这些漏洞影响。基于下述原因，我们认为用户输入的内容可能已经遭到大规模收集：·这些漏洞影响了广泛的用户群体·用户在键盘中输入的信息极为敏感·发现这些漏洞不需要高深技术·五眼联盟过去曾利用中国应用程序中类似的漏洞施行监控在我们测试的九家厂商的应用程序中，仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题，其余每一家厂商都至少有一个应用程序含有漏洞，使得被动型网络攻击者得以监看用户输入的完整内容。——（）