CoolWallet S 漏洞揭露狀態更新

本報告概述了 CoolBitX Crypto 應用程式如何根據 Kraken 提供的建議進行最佳化。我們要感謝 Kraken 團隊評估 CoolWallet S 的安全性並向我們提出這些問題，作為其道德揭露流程的一部分。

以下所述的所有優化現已部署在我們最新的應用程式版本中，並在產品的公共資訊管道（網站、常見問題等）上公佈。在此狀態更新中，我們討論了 Kraken 的發現、我們如何成功地根據這些資訊採取行動、CoolWallet 的安全功能以及我們的使用者應採取的最佳實踐措施。

目錄

1. 概括
2. Kraken 的安全建議
3. 我們如何保護 CoolWallet S
4. 我們的用戶如何以最佳方式保護其 CoolWallet S
5. 技術回應：解決 Kraken 已識別的漏洞
6. 結論

一、總結

Kraken 的安全團隊定期檢視領先硬體錢包的安全性，以提高用戶資金的安全性。 2020 年 1 月，Kraken 安全實驗室聯繫了 CoolBitX 的技術團隊，告知我們他們已經評估了 CoolWallet S 並發現了 Android 應用程式中的潛在漏洞。根據其負責任的揭露政策，Kraken 為我們提供了調查和解決這些問題的機會。

正如我們的社群所知，保護用戶的資金是我們的首要關注點。雖然我們認為 CoolWallet S 用戶從未遇到任何重大風險，但我們的開發團隊已修復這些漏洞並相應優化了我們應用程式的安全性，以確保您的敏感資訊的持續安全。

我們將在本次狀態更新結束時更詳細地解釋我們所採取的步驟。

Kraken 的報告也讓我們有機會與社群溝通，並強化使用者應採取的最佳實踐安全措施。具體來說，我們將討論如何最好地保護您的手機、卡片和恢復種子。

2.Kraken的安全建議

Kraken 告訴我們，如果熟練且老練的惡意行為者透過實體攔截、惡意軟體取得對使用者手機和CoolWallet S 的實體或遠端存取權限，則使用者的PIN、配對密碼和硬體種子資訊可能會暴露給該惡意行為者。

根據 Kraken 的說法，攻擊者可以透過以下方式滲透 CoolWallet 的應用程式：

1. 實體竊取您配對的手機（必須具有已停用的應用程式 PIN 碼）
2. 或使用可以記錄日誌資料或截取敏感資訊螢幕截圖的惡意軟體滲透其中。

Kraken 的團隊也認為隨身攜帶 CoolWallet S 和配對手機是個漏洞。他們的團隊向我們的用戶推薦以下操作，我們也加入了我們的想法：

1. 更新 CoolBitX Crypto Android 應用程式：

正如 Kraken 所指出的，CoolBitx 已在我們最新的應用程式版本中發布了修復程序，阻止其可能洩露種子或 AppLock PIN。我們建議用戶盡快更新到我們最新的官方應用程式版本。

2. 在 CoolWallet S（而非應用程式）上產生錢包種子：

雖然我們為使用者提供了這兩種選擇，但我們同意 Kraken 的觀點，並建議使用者使用我們的卡片來產生種子。本2019 年指南解釋瞭如何以及為何。

3.開啟應用程式鎖定功能並顯示目標位址

我們同意 Kraken - 雖然它沒有設定為預設選項，但在我們的應用程式上啟用這些安全功能很有幫助。我們最新的應用程式版本會顯示一則通知，向使用者推薦此功能。

4. 不要將 CoolWallet S 與配對的手機一起攜帶

CoolWallet S 吸引力的一個重要部分是其纖薄的尺寸，允許用戶將其小心地放在傳統錢包中攜帶。我們設計該產品的目的是讓我們的用戶隨時隨地存取和交易他們的資產。 Kraken 建議用戶不要隨身攜帶 CoolWallet S 及其配對手機，因為有被盜或搶劫的風險。我們認為這種安全風險並不比 USB 形式的硬體錢包用戶所面臨的安全風險更嚴重，他們很可能會將設備留在家裡，並且大部分時間都不受直接監管。事實上，受影響的 CoolWallet S 用戶很可能會更快收到有關其硬體錢包可能被盜或被攔截的警報，因為他們可能隨身攜帶硬體錢包。

最終，每個用戶都有責任最大程度地確保其人身安全。如果不確定某個情況或地點是否安全，最好不要隨身攜帶 CoolWallet S、錢包或手機等貴重物品，以減少同一個人丟失手機和 CoolWallet 的可能性。

3. CoolBitX 如何保護 CoolWallet S

在過去的 5 年裡，CoolBitX 投入了大量的技術資源來加強和優化我們產品的安全性 - 我們採取了多層流程來保護 CoolWallet S，不斷改進以領先於惡意行為者。這些措施包括：

1. EAL5+安全元件（私鑰保護）

Kraken 報告證實了 CoolWallet 的 EAL5+ 安全元件 (SE) 的高水準認證。這種堅不可摧的微晶片可確保用戶的私鑰永遠不會被洩露或洩露，甚至不會洩露給用戶自己。

2. 專利「冷壓」防竄改設計

大多數成熟的硬體錢包都採用 USB 外形，這使得它們很容易受到供應鍊和側通道篡改，正如道德駭客過去所記錄的那樣。 CoolWallet S 的薄型設計和「冷壓縮」塗層製程使得不良行為者不可能在不造成所有者肉眼可見的物理損壞的情況下篡改 CoolWallet S。

3. 2+1因素認證

CoolWallet S 和應用程式（iOS/Android）採用獨特的 2+1 因素身份驗證流程，將多個基於手機的生物識別和數位驗證步驟與目視檢查（錢包）後的實體按鈕確認相結合。這意味著，在有人遠端解鎖您的手機的情況下，他們仍然需要實體存取您的卡片才能轉移資金。

4. 加密藍牙通訊（AES256）

CoolWallet S 使用軍用級 AES256 藍牙加密，確保與我們的應用程式進行無線離線通訊。自 2015 年以來，我們廣泛測試並改進了該通訊​​協定的彈性。

5.應用鎖PIN碼

為了進一步增強安全性和隱私性，我們去年在 CoolBitX 加密應用程式上引入了 AppLock PIN 碼功能，讓那些希望在投資組合詳細資訊方面更加安心和隱私的用戶。我們建議用戶利用此功能來增強錢包的安全性。

要解鎖 CoolBitX Crypto 應用程序，您需要知道您唯一的 6 位數代碼。您也可以根據需要選擇停用或重設它。出於安全原因，CoolBitX 不保留任何備份，因此我們無法協助恢復忘記的 PIN 碼。使用者有責任確定如何儲存、保護或是否使用此附加安全功能。

4.如何最佳保護您的 CoolWallet S

Kraken 評估確定 CoolWallet S 的安全性取決於其所有者為保護手機和恢復種子而採取的安全措施。我們完全同意這一點，並且之前已經撰寫了大量有關如何最好地管理這些領域的文章。為了方便用戶，我們將在這裡快速回顧：

助記詞管理

1. 確保您已安全備份助記詞。如果您有疑問，請按照本指南進行操作。
2. 透過卡片而不是我們的應用程式產生種子恢復。在我們提供的紙錢包上寫下您的 12-24 個種子，並按照提示通過校驗和進行驗證。
3. 將您的恢復種子存放在完全私密且安全的地方，如果可能的話，不要與您的 CoolWallet S 位於同一區域
4. 切勿以數位格式（例如螢幕截圖、照片或文件）記錄或儲存您的助記詞或配對通行證。
5. 切勿向任何人透露您的助記詞，或在電子郵件或電話提示時透露您的助記詞
6. 如果您需要在不同的 CoolWallet S 或行動裝置上恢復資金，請使用我們的高級種子恢復功能。

應用程式內安全

1. 確保您使用的是最新的 CoolBitX Crypto 應用程式發行版本。
2. 確保您已從 Google Play (Android) 或 Apple App Store (iOS) 安裝官方 CoolBitX Crypto 應用程式。請勿從其他方提供的網站或來源下載。
3. 設定獨特且易於記憶的 6 位元AppLock PIN 碼。不要使用您的出生日期或可預測的序列（如 123456）。在沒有備份恢復種子的情況下忘記 PIN 碼可能會導致您永久無法存取您的資金。

手機安全

1. 將手機的生物辨識安全措施（例如指紋、臉部辨識或模式識別）與手機的（唯一）PIN 碼結合使用
2. 請勿在公共場所連接未知或可疑的 WiFi 連接
3. 請勿接觸網站、應用程式、電子郵件、訊息或任何可能透過惡意軟體或網路釣魚方法危害手機安全的內容。
4. 確保您手機的作業系統和 CoolBitX Crypto 應用程式是最新的。
5. 檢查您的手機是否尚未受到惡意軟體的侵害。

卡安全

1. 僅直接從我們或經過驗證的經銷商處購買 CoolWallet S。
2. 透過卡片而不是應用程式私下產生您的恢復種子。
3. 在卡的電子墨水螢幕上直觀地確認交易詳細信息
4. 將您的 CoolWallet S 放在視線之外，並且不要向他人洩露其位置或投資組合詳細信息
5. 隨時了解您的 CoolWallet S 在哪裡。

5.技術響應：解決Kraken的漏洞問題

敏感資料系統日誌和記憶體

正如 Kraken 在報告中所揭露的那樣，他們的團隊成功地在日誌和記憶體中發現了敏感數據，例如種子、配對密碼和應用程式 PIN，這增加了設備被成功駭客攻擊的風險。作為回應，CoolBitX 技術團隊進行瞭如下所述的更改來解決問題。

1. 我們已停用應用程式上的關鍵日誌，以防止列印包含敏感資料的日誌
2. 我們對種子生成和 PIN 相關流程應用了安全措施。因此，當使用者輸入種子或 PIN 碼時，惡意使用者無法使用第三方應用程式來錄製螢幕或截取螢幕截圖。
3. 我們已經完成了變數管理最佳化，以加快敏感資料的記憶體垃圾收集過程。

交易詳情驗證

CoolWallet S 具有在交易簽名之前顯示交易詳細資訊的功能，例如接收地址和交易金額。在 Kraken 報告之前，此功能並未設定為預設值。

在最新版本的 CoolBitX Crypto 應用程式中，新的安全警報通知用戶可以選擇在其 CoolWallet S 上顯示交易的完整詳細資訊。

警告卡、手機遺失及未開啟應用程式鎖定的風險

為了最大限度地提高使用 CoolWallet S 時的安全性，請在您的手機上啟用密碼/指紋/臉部辨識鎖定功能以及我們針對 CoolBitX Crypto 應用程式的 AppLock 功能。

另外，請對如何實際保護和暴露您的手機和 CoolWallet S 保持警惕。

如果您遺失了手機或 CoolWallet S，請聯絡我們的客戶支援團隊，他們會就如何恢復資金存取提供建議，或按照本指南進行操作。

應用鎖

最新發布的 CoolBitX Crypto 應用程式現在具有 10 秒計時器，可充當超時功能。現在，如果關閉應用程式和返回應用程式之間的時間間隔超過 10 秒，用戶需要使用唯一的 6 位數 PIN 碼確認自己的身分。

避免 ADB 工具被駭客攻擊

我們實施了一種新方法來避免直接執行 MainActivity。驗證的先決條件是在 MainActivity 中檢查。嘗試繞過驗證頁面的使用者將被重定向回初始驗證過程。

交易認證

根據 Kraken 報告，交易簽署的設計沒有經過身份驗證過程。然而，CoolWallet S 利用行動裝置上的生物特徵驗證作為身份驗證方法。

PIN 碼存儲

如果裝置未獲得 root 權限或越獄，第三方應用程式將無法存取 PIN。此外，該團隊還設法讓用戶了解，獲得 root 權限和越獄的設備會為他們的資料安全帶來風險。

六、結論

CoolBitX 於 2015 年初開始開發 CoolWallet S，構建了第一個具有信用卡外形和藍牙連接的硬體錢包，並在此過程中預示著一種新類別的無束縛便攜式卡式硬體錢包的出現。從那時起，隨著我們不斷迭代我們的產品及其不斷發展的安全性，CoolWallet 已經進入了未知領域。

因此，我們認為領導行動硬體錢包安全基準的開發是我們的責任。 CoolBitX 歡迎 Kraken 安全實驗室等行業專家進行滲透評估，我們以極其嚴肅和緊迫的態度看待他們的調查結果。

根據 Kraken 的報告，該團隊已令人滿意地優化了 Android 應用程式中的安全體驗，並成功關閉了惡意用戶可能用來提取應用程式中儲存的敏感資料的攻擊媒介。

一些值得關注的領域，例如已 root 和越獄的設備，超出了我們團隊的控制範圍，並取決於 CoolWallet S 用戶的個人警覺性和責任感。這就是為什麼我們發布了指南並發佈公告來教育我們的用戶並敦促他們保護自己的設備，例如在 CoolBitX Crypto 應用程式中啟用 AppLock PIN。

CoolBitX 對 Kraken 安全實驗室團隊表示最熱烈的感謝，他們如此詳細地審查了 CoolWallet S 安全流程的彈性，並為我們提供了根據他們的見解採取行動的機會。

就可能的攻擊媒介和設備漏洞提供如此新鮮且專業的視角對於我們的團隊和我們所服務的社群來說非常寶貴。