# 如何确保你正在用的平台和钱包APP是安全的

**Published by:** [GZH](https://paragraph.com/@gzheth/)
**Published on:** 2022-12-28
**URL:** https://paragraph.com/@gzheth/app

## Content

202221228 摘抄 https://www.theblockbeats.info/news/33326 输入正确官方域名时，务必在域名开头加上 https://，它的作用很大，打开网址时，如果有本地劫持、远程 DNS 劫持风险，通常浏览器地址栏上方会有「不安全」的红色警示以及页面安全隐患等多种警示，具体原理就不展开了，简单的说这也是非对称加密的一个广泛应用之一，用于防劫持，通过加密签名的不对称验证来确保访问的是官方提供的网页由于某些特殊原因，国内安卓手机用户无法直接通过 GooglePlay 下载 APP，只能下载 APK 安装包，而大部分假 APP 安全事件就出在 APK 被替换、下载了假 APK 的问题上，那么就我们就一定要确保 APK 是官方提供的才行。首先用 Https 打开官网后，进入下载页面，细心的同学可能会看到一些下载页面通常会有一个「验证应用安全性」或者 SHA256 等字样链接，预计 80% 的人不会看安全提示，90% 的人没有点开验证链接查看过里面的内容并进行验证…点开安全验证链接或者 SHA256 链接后，我们会看到官方公布的 APK 安装包文件对应的哈希值（如果文件有任何修改，哈希值将彻底改变），我们在下载 APK 文件后，计算它的哈希值与官方公布的一致，就可以说明文件没有被替换掉。下载 APK 后，关键的一步来了，打开谷歌旗下的 virustotal.com 查毒网站，上传刚刚下载 APK 文件，我们可以获得这个文件的哈希值进行对比的同时通过数十个病毒库以及进行检索这个文件是否携带恶意代码等情况，可以说是一箭双雕的神器。最后，如果要再再严谨一点，也要注意打开官网下载页面时担心哈希值和下载链接被本地病毒、插件同时篡改，那么可以通过手机等不同环境浏览器二次确认哈希值是否一致。假如，你准备下载的钱包官网下载页面不支持 Https，你首先要怀疑的是这是不是真的官网，另外如果不提供 APK 文件哈希值核对，同样你可以怀疑这个钱包团队对安全性的严谨态度，出现如此疏漏是非常不应该、不负责任的，请谨慎考虑是否要使用该 APP 事实上，最好的方法就是通过官网的下载页面进入安卓的 Google Play、IOS AppStore 下载安装，因为理论上谷歌和苹果应用商店的安全系数比钱包官方的安全系数高太多了，它们平台具有世界顶尖级别的安防软硬件和人才储备，钱包或者平台和它们比起来完全不是一个量级的。因此通过钱包、平台官网下载页面打开 GooglePlay、 AppStore 页面，再次确认开发者公司名称、下载量、评论量（主流钱包这些量很大）没有问题的情况下，此时我们可以认为下载的 APP 是安全的。如果当前设备正在使用的 apk 包安装应用不确定是否安全，可以按照前面 2 个安全提示的方法，确定官方并验证哈希以后下载到手机覆盖安装即可，不过千万不要忘了先备份好助记词，以防覆盖过程出错导致丢失数据无法恢复钱包（不过一般覆盖安装或者更新应用不会导致数据丢失） 如果不用冷钱包、硬件钱包，**喜欢热钱包的朋友，最安全的是 iphone 设备安装，一来只需要一个海外 ID 不需要安卓这样的各种折腾，二来 iPhone 锁定后加密数据没有密钥无法解锁。**海外很多主流 APP（比如 Metamask）都是不支持 APK 单独下载安装的，就是因为安全问题太多，但很多厂商为了拉新迫于无奈、安卓用户太庞大等原因才开放 APK 下载，安卓如果要绕开 APK 问题，需要谷歌服务框架（含 Google Play）、谷歌密码验证器这些必备软件，现阶段因为某些原因已经非常难安装了，很多人找的第三方解决方案来源本身就非官方可能也不安全，也不够严谨。

## Publication Information

- [GZH](https://paragraph.com/@gzheth/): Publication homepage
- [All Posts](https://paragraph.com/@gzheth/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@gzheth): Subscribe to updates
- [Twitter](https://twitter.com/gzh197912): Follow on Twitter