漏洞概述
在2024年2月27日的安全审计中,Trust安全团队在Android版本(2.4.0及以下版本)中发现一个潜在的安全漏洞。 该漏洞涉及本地存储机制,可能在特定条件下导致敏感信息被未经授权的应用访问。
重要说明
此漏洞仅影响Android版本的Trust钱包,iOS和桌面版本不受影响。
技术细节
- CVE编号: 待分配
- 漏洞类型: 本地信息泄露
- 风险等级: 中高危
- 发现时间: 2024年2月27日
- 报告方式: 内部安全审计
受影响版本
以下Android版本受到此漏洞影响:
| 版本号 | 发布日期 | 受影响状态 | 修复版本 |
|---|---|---|---|
| v2.4.0 | 2024-02-15 | 受影响 | v2.4.1 |
| v2.3.2 | 2024-01-30 | 受影响 | v2.4.1 |
| v2.3.1 | 2024-01-15 | 受影响 | v2.4.1 |
| v2.3.0 | 2023-12-28 | 受影响 | v2.4.1 |
| v2.4.1 | 2024-02-28 | 已修复 | - |
版本检查
您可以在Trust钱包设置中查看当前版本号。 如果您的版本低于v2.4.1,请立即更新。
安全影响
此漏洞可能导致的潜在风险:
信息泄露风险
在特定条件下,本地存储的配置信息可能被其他应用访问
隐私风险
部分用户偏好设置可能被读取,但不会泄露私钥或助记词
有限风险
不影响资产安全,私钥和助记词仍保持加密存储
核心安全不受影响
重要: 此漏洞不会影响钱包的核心安全功能。 您的私钥、助记词和资产仍然安全,因为:
- 私钥始终在安全隔离区加密存储
- 交易签名在硬件安全模块中完成
- 敏感操作需要生物识别验证
修复详情
我们的安全团队在发现漏洞后立即响应,并发布了修复版本v2.4.1。 此次修复包括:
漏洞发现
安全团队在定期审计中发现潜在问题
安全评估
评估漏洞影响范围和风险等级
开发修复
开发团队开始实施安全修复方案
安全测试
全面测试修复方案的有效性
版本发布
发布修复版本v2.4.1到官方应用商店
技术修复措施
- 加固本地存储: 实现更严格的访问控制和加密机制
- 改进权限管理: 限制其他应用访问钱包数据
- 增强沙箱保护: 加强应用间的数据隔离
- 更新加密算法: 使用更强的加密标准保护配置数据
更新指南
请按照以下步骤更新您的Trust钱包:
打开应用商店
访问Google Play Store(Android用户)
搜索Trust钱包
在搜索框中输入"Trust钱包"
检查更新
点击"更新"按钮安装最新版本v2.4.1
验证版本
更新后,在钱包设置中确认版本号为v2.4.1
直接下载链接
您也可以通过以下链接直接下载最新版本:
预防措施
为确保您的资产安全,建议采取以下预防措施:
立即更新
所有Android用户应立即更新到v2.4.1版本
仅从官方渠道下载
始终从Google Play或官网下载钱包应用
检查应用权限
定期检查并限制其他应用的存储访问权限
开启自动更新
在应用商店中开启自动更新功能
订阅安全通知
关注官方渠道的安全公告和更新通知
使用安全功能
开启生物识别和交易确认等安全功能
常见问题
是的,您的资产是安全的。 此漏洞仅涉及本地配置信息泄露, 不会影响您的私钥、助记词或资产。Trust钱包的核心安全架构确保了 敏感信息的安全存储和交易签名。
继续使用旧版本可能暴露您的钱包配置信息给恶意应用。 虽然不会直接导致资产损失,但可能增加其他攻击的风险。 强烈建议立即更新以消除潜在风险。
不需要。 此漏洞仅影响Android版本。 iOS和桌面版本采用不同的安全架构,不受此漏洞影响。 但我们仍建议所有用户保持应用为最新版本。
更新后,请打开Trust钱包,进入"设置" → "关于"页面, 确认版本号显示为v2.4.1或更高版本。
如果无法通过应用商店更新,请:
- 访问官网下载最新APK文件
- 备份您的钱包助记词
- 卸载旧版本后安装新版本
- 使用助记词恢复钱包
- 如有问题,请联系技术支持
如果您发现任何安全问题,请通过以下方式报告:
- 安全邮箱: security@tokenim.com
- 漏洞赏金计划: bugbounty.tokenim.com
- 紧急联系方式: 在官网联系我们页面获取