In der heutigen digitalen Welt, in der die sichere Verwaltung von Krypto-Vermögenswerten wichtiger denn je ist, hebt sich Tangem durch das Angebot einer mobilen Wallets App hervor, die sowohl hochsicher als auch benutzerfreundlich ist. Ein wesentlicher Teil der Stärke von Tangem liegt in seinem einzigartigen Ansatz für die Sicherheit mobiler Anwendungen - einer, der nicht einmal einen Bildschirm auf der Hardware selbst erfordert.
Werfen wir einen Blick darauf, wie Tangem erstklassige Sicherheit für seine mobile Wallet-App gewährleistet.
Eine Philosophie, bei der Sicherheit an erster Stelle steht
Tangem ist bestrebt, die sicherste mobile Wallet der Branche zu entwickeln. Unser Ansatz zur App-Sicherheit basiert auf weltweit anerkannten Best Practices von Organisationen wie OWASP und folgt den neuesten Sicherheits- und Datenschutzrichtlinien, die von Google und Apple veröffentlicht wurden.
Wir verwenden fortschrittliche Techniken und moderne Technologien, um sicherzustellen, dass wir an der Spitze der mobilen Sicherheit stehen und den Nutzern Vertrauen und Schutz bei der Verwaltung ihrer digitalen Güter bieten.
Tangem verwendet hochmoderne eingebettete mobile Sicherheitstools, darunter DexProtector von Licel, das von führenden Bank- und Zahlungsanwendungen verwendet wird.
Tangem verfügt über ein umfassendes Paket von Sicherheitsmaßnahmen, um die Nutzerdaten zu schützen und die App vor potenziellen Bedrohungen zu bewahren. Diese Maßnahmen sind in fünf Hauptkategorien unterteilt:
1. Schutz der Daten und der Privatsphäre
Verschlüsselung der Daten
Um den unbefugten Zugriff auf sensible Informationen während der Anwendungslaufzeit zu verhindern, verschlüsselt Tangem alle Daten. Dieser Ansatz entspricht den Empfehlungen der OWASP MSTG (Minimum Security Threats Group) und minimiert das Risiko von automatisierten Angriffen und unbefugtem Zugriff auf Daten.
Sichere lokale Speicherung
Tangem speichert keine sensiblen Daten im Klartext auf dem Gerät. Der gesamte lokale Speicher ist verschlüsselt und auf die sichere Umgebung der App beschränkt. Dadurch ist er für andere Apps unzugänglich und widerstandsfähig gegen Manipulationen, selbst auf gerooteten oder jailbroken Geräten.
Umgang mit sensiblen Daten
Wenn ein Nutzer sensible Informationen wie Brieftaschenadressen oder Sicherheitscodes kopiert, stellt Tangem sicher, dass diese Daten sowohl auf Android- als auch auf iOS-Plattformen sicher behandelt werden. Unter Android werden die kopierten Daten im System als privat markiert, sodass andere Apps nicht im Hintergrund darauf zugreifen können.
Unter iOS verwendet die App Schutzmechanismen auf Systemebene und vermeidet die unnötige Nutzung der Zwischenablage, um das Risiko zu minimieren. Diese Sicherheitsvorkehrungen tragen dazu bei, potenzielle Lecks von sensiblen Informationen über die Zwischenablage zu verhindern - ein häufiger, aber oft übersehener Angriffsvektor.
Bereinigung von Protokollen und Refaktorierung von Netzwerkprotokollen
Unsere Anwendungsprotokolle werden gründlich bereinigt, um sensible Informationen zu entfernen oder zu verbergen. Außerdem strukturieren wir unsere Netzwerkprotokolle sorgfältig um, um vertrauliche Details auszuschließen, was das Risiko von Informationslecks erheblich verringert.
2. Anwendungs- und Laufzeitintegrität
Integritätsprüfungen
Die Anwendung enthält integrierte Mechanismen, die ihren Code und Inhalt überprüfen, um nicht autorisierte Änderungen zu erkennen. Diese Prüfungen stellen sicher, dass die Anwendung echt ist und verhindern die Ausführung potenziell schädlicher oder nicht autorisierter Versionen.
Integritätsprüfungen sind ein wichtiger Bestandteil von Runtime Application Self-Protection (RASP) und werden von der OWASP MSTG als Schlüssel zur Aufrechterhaltung des Vertrauens und der Sicherheit von Anwendungen empfohlen.
Anti-Debugging und Anti-Emulation Maßnahmen
Die Tangem-Anwendung verfügt über spezielle Mechanismen, die erkennen können, ob sie im Debugging-Modus oder in einer emulierten Umgebung ausgeführt wird. Angreifer verwenden in der Regel Debugging-Tools und Emulatoren, um das Verhalten der Anwendung dynamisch zu analysieren, Schwachstellen zu identifizieren oder die Anwendungslogik zurückzuentwickeln.
Durch die Erkennung und Verhinderung der Ausführung unter diesen Bedingungen reduziert die App das Risiko von Ausbeutung, Laufzeitangriffen und unbefugter Datenextraktion erheblich.
Erkennung von Root und Jailbreak
Die App überwacht kontinuierlich auf Anzeichen von Rooting oder Jailbreaking und kann den Zugriff auf sensible Vorgänge auf kompromittierten Geräten einschränken oder blockieren. Dadurch wird sichergestellt, dass wichtige Funktionen nur in sicheren und vertrauenswürdigen Umgebungen ausgeführt werden.
3. Sichere Kommunikation
Zertifikat-Transparenz
Die gesamte Netzwerkkommunikation nutzt Zertifikatstransparenz, um die Ausstellung und Verwendung betrügerischer Zertifikate zu verhindern. Dies gewährleistet sichere Verbindungen und stärkt das Vertrauen. Durch die öffentliche Protokollierung von Zertifikaten, die von Zertifizierungsstellen (CAs) ausgestellt wurden, trägt Certificate Transparency dazu bei, Man-in-the-Middle-Angriffe abzuschwächen. Domänenbesitzer und Dritte können nicht autorisierte Zertifikate schnell erkennen und so das Risiko einer Kompromittierung minimieren.
Netzwerksicherheit und Zertifikats-Pinning
Der gesamte Netzwerkverkehr wird über sichere TLS-Verbindungen (TLS 1.2 oder höher) übertragen. Die App überprüft gründlich die Identitäten der Server, um sicherzustellen, dass die Kommunikation nur mit vertrauenswürdigen Servern erfolgt. Dies trägt dazu bei, das Risiko von Man-in-the-Middle-Angriffen zu verringern und ein sicheres und vertrauenswürdiges Netzwerk zu erhalten.
4. Benutzeroberfläche und Eingabesicherheit
Anwendungsübergreifender Scripting- und WebView-Schutz
Tangem hilft bei der Verhinderung von Cross-App-Scripting-Angriffen, indem es alle Interaktionen zwischen Anwendungen überprüft, insbesondere die innerhalb von WebView-Komponenten. Diese Komponenten sind ein häufiges Ziel für Angriffe auf mobile Apps.
Die App schränkt die Ausführung von JavaScript ein, verwaltet sorgfältig die Validierung von SSL-Zertifikaten und stellt sicher, dass in die WebView geladene Inhalte sicher ausgelesen und bereinigt werden. Diese Maßnahmen tragen dazu bei, eine Vielzahl potenzieller Angriffe zu verhindern, einschließlich Cross-Site-Scripting (XSS), JavaScript-Injektion und Man-in-the-Middle (MITM)-Angriffe.
Tangem befolgt die branchenweit anerkannten Sicherheitspraktiken, die in den OWASP MSTG und den Android WebView-Sicherheitsrichtlinien von Google beschrieben sind.
Schutz vor Tapjacking
Die App verfügt über robuste Mechanismen zur Erkennung und Verhinderung von Tapjacking, einer Art von UI-Redressing-Angriff, bei dem eine bösartige App unsichtbare oder irreführende UI-Elemente über die legitime App legt, um Benutzer zur unbeabsichtigten Ausführung von Aktionen zu verleiten.
Tangem prüft aktiv auf verdeckte Ansichten während der Benutzerinteraktion, um sicherzustellen, dass keine unsichtbaren UI-Überlagerungen Benutzertipps in sensiblen Bereichen der Anwendung, wie z. B. dem Zugriff auf sicherheitskritische Aktionen, entführen können. Tapjacking ist eine gut dokumentierte Bedrohung in den OWASP Mobile Top 10 und den Best Practices für Android-Sicherheit.
Sichere Eingabeverarbeitung
Tangem verfolgt einen mehrschichtigen Ansatz zur Sicherung sensibler Eingabefelder in seiner App. Es erkennt die Verwendung von benutzerdefinierten Tastaturen, wenn Benutzer sensible Daten eingeben, und hilft so, sie vor Keyloggern und unbefugter Eingabeüberwachung zu schützen.
Darüber hinaus werden Funktionen auf Systemebene wie Autovervollständigung, Rechtschreibprüfung, Kennwortspeicherung, Autokorrektur und vorausschauende Eingabe für kritische Felder deaktiviert. Diese Mechanismen sind zwar im täglichen Gebrauch praktisch, können aber versehentlich sensible Informationen speichern oder vorschlagen, wodurch die Gefahr einer unbeabsichtigten Datenpreisgabe besteht.
Tangem verwendet auch sichere Eingabefeldkonfigurationen, die dem Betriebssystem signalisieren, dass der Inhalt privat ist und nicht zwischengespeichert, protokolliert oder für Zugangsdienste zugänglich gemacht werden darf.
Deaktivierte Bildschirmfotos und Bildschirmaufnahmen
Screenshots und Bildschirmaufzeichnungen sind in Bereichen der App, in denen sensible Daten wie Wiederherstellungsphrasen oder private Schlüssel angezeigt werden, verboten.
Dies trägt dazu bei, sowohl die absichtliche als auch die versehentliche Erfassung vertraulicher Informationen zu verhindern, insbesondere in Umgebungen, in denen Bildschirminhalte ohne Wissen des Benutzers aufgezeichnet werden könnten.
Diese Maßnahme steht auch im Einklang mit den Empfehlungen der OWASP MSTG und ist besonders wichtig für Anwendungen, die mit finanziellen oder kryptografischen Daten arbeiten.
5. Architektur und Betriebssicherheit
Sitzungsmanagement und Token-Schutz
Wir nehmen die Sicherheit von Authentifizierungs-Tokens und Sitzungskennungen sehr ernst und sorgen für ein sicheres und stabiles Erlebnis sowohl auf Android- als auch auf iOS-Plattformen.
Die Token werden mit sicheren Speichermechanismen gespeichert, die von den Plattformen bereitgestellt werden, und werden niemals im Klartext gespeichert oder übertragen. Sitzungen laufen nach einer bestimmten Zeit der Inaktivität automatisch ab, wodurch das Risiko eines unbefugten Zugriffs bei Verlust oder Beeinträchtigung eines Geräts verringert wird.
Code-Überprüfung und Audit-Prozess
Vor der Freigabe durchläuft der gesamte in die mobile Anwendung von Tangem integrierte Code mehrere Prüfungsebenen. Kritische Komponenten werden explizit gekennzeichnet und einer zusätzlichen Peer Review unterzogen, um Korrektheit, Sicherheit und Stabilität zu gewährleisten.
Zusätzlich zu den Kontrollen vor der Veröffentlichung führt Tangem regelmäßig interne Audits durch, um die Integrität und Sicherheit der Codebasis zu bewerten. Außerdem werden während des gesamten Entwicklungszyklus automatisierte Tools eingesetzt, um die Codequalität zu erhalten und das Risiko von Schwachstellen zu minimieren.
Minimierte Berechtigungen
Tangem folgt dem Prinzip der geringsten Berechtigung und fordert nur die Berechtigungen an, die für den Betrieb der Anwendung unbedingt erforderlich sind. Dieser Ansatz trägt dazu bei, die Angriffsfläche zu reduzieren und Benutzerdaten zu schützen, indem der Zugriff auf Gerätefunktionen verhindert wird, die für die Kernfunktionalität der App nicht entscheidend sind.
Durch die Minimierung der Berechtigungen erhöht Tangem auch die Transparenz und das Vertrauen. Dies steht im Einklang mit den OWASP-Empfehlungen und den plattformspezifischen Datenschutzrichtlinien von Google und Apple.
Diese gründlichen Maßnahmen sollen ein Höchstmaß an Sicherheit und Datenschutz für unsere Nutzer gewährleisten.
Warum kein Bildschirm?
Durch die Verlagerung der wichtigsten Prozesse auf die sichere mobile App benötigt die Hardware-Wallet von Tangem kein Display. Die sichere App wickelt alle wichtigen Interaktionen ab und ist durch die oben beschriebenen robusten Sicherheitsschichten geschützt. Dies vereinfacht das Nutzererlebnis und sorgt gleichzeitig für die Sicherheit der digitalen Werte.
Abschließende Gedanken
Tangem setzt neue Standards für die Sicherheit von Krypto-Wallets, indem es fortschrittlichen Schutz mit durchdachtem Design kombiniert. Jeder Aspekt der App wurde mit Blick auf die Sicherheit der Benutzer entwickelt, von der verschlüsselten Speicherung bis hin zur sicheren Eingabeverarbeitung und dem Laufzeitschutz.
Für Nutzer, denen Sicherheit über alles geht, die aber nicht auf Komfort verzichten wollen, bietet Tangem ein beruhigendes Gefühl, das durch branchenführende Standards und kontinuierliche Innovation gestützt wird.
FAQ: Sicherheit der Tangem Wallet-App
Wie sichert Tangem die mobile Tangem-App?
Die mobile App von Tangem wickelt alle kritischen Interaktionen ab und ist mit mehrschichtigen Sicherheitsmaßnahmen ausgestattet - einschließlich Verschlüsselung, sicherer Eingabeverarbeitung und Echtzeit-Bedrohungserkennung - wodurch ein Hardware-Bildschirm überflüssig wird. Das Ergebnis ist eine einfachere und sicherere Benutzererfahrung.
Welche Art von Daten verschlüsselt Tangem?
Tangem verschlüsselt alle sensiblen Daten, einschließlich Wallet-Informationen und Sitzungs-Tokens, um sie vor unbefugtem Zugriff während der Laufzeit der App und der lokalen Speicherung zu schützen. Keine Klartextdaten werden jemals auf Ihrem Gerät gespeichert.
Sind meine Daten sicher, wenn mein Telefon verloren geht oder beschädigt wird?
Ja. Tangem erkennt gerootete oder jailbroken Geräte und beschränkt den Zugriff auf sensible Vorgänge. Darüber hinaus laufen Sitzungen nach Inaktivität automatisch ab, und alle Token werden sicher in einem plattformspezifischen sicheren Speicher abgelegt.
Wie schützt Tangem vor Angriffen auf die Zwischenablage?
Unter Android markiert Tangem kopierte Daten als privat, sodass andere Apps im Hintergrund nicht darauf zugreifen können. Unter iOS wird die unnötige Verwendung der Zwischenablage gänzlich vermieden, was dazu beiträgt, Datenlecks durch einen der häufigsten mobilen Angriffsvektoren zu verhindern.
Können Hacker die Tangem-App verändern oder manipulieren?
Tangem enthält Integritätsprüfungen für die App, um nicht autorisierte Änderungen zu erkennen. Die App wird nicht ausgeführt, wenn sie manipuliert wurde, um sicherzustellen, dass nur offizielle, unveränderte Versionen verwendet werden können.
Wie wird die Kommunikation mit Servern geschützt?
Die gesamte Netzwerkkommunikation ist durch TLS (1.2 oder höher) geschützt und verwendet Zertifikats-Pinning und Transparenz, um Man-in-the-Middle-Angriffe (MITM) oder gefälschte Zertifikate zu verhindern.
Erlaubt Tangem Bildschirmfotos oder Bildschirmaufnahmen?
Nein. In Bereichen der App, in denen sensible Daten angezeigt werden - wie z. B. Wiederherstellungsphrasen oder private Schlüssel - sind Screenshots und Bildschirmaufzeichnungen vollständig deaktiviert, um eine versehentliche oder böswillige Datenerfassung zu verhindern.
Wie verhindert Tangem Keylogging oder die Verfolgung unbefugter Eingaben?
Tangem deaktiviert die automatische Vervollständigung, die Rechtschreibprüfung und die vorausschauende Eingabe in sensiblen Feldern. Es erkennt auch, wenn eine benutzerdefinierte Tastatur verwendet wird, und schützt so vor Keyloggern und dem Abfangen von Daten.
Was ist Tapjacking, und wie verhindert Tangem es?
Tapjacking ist eine Art von Angriff, bei dem unsichtbare Overlays Benutzer dazu verleiten, auf Dinge zu tippen, die sie nicht beabsichtigen. Tangem erkennt verdeckte Elemente der Benutzeroberfläche und blockiert Aktionen in sensiblen Bereichen der App, um diese Art von Bedrohung zu verhindern.
Welche Berechtigungen benötigt die Tangem-App?
Tangem folgt dem Prinzip des geringsten Privilegs - das heißt, es werden nur die Berechtigungen angefordert, die zur Ausführung der Kernfunktionen der Wallet erforderlich sind. Dies begrenzt die Gefährdung und erhöht die Privatsphäre und Transparenz.
