Почему Tangem Wallet не нуждается в экране

В современном цифровом мире, где безопасное управление криптоактивами является более важным, чем когда-либо, Tangem разработал приложение для кошелька, отличающееся высокой степенью безопасности и удобством в использовании. 

Ключевая сила Tangem заключается в уникальном подходе к обеспечению безопасности мобильного приложения, которое даже не требует наличия экрана на самом оборудовании.

Давайте рассмотрим, как Tangem обеспечиваем первоклассную безопасность нашего кошелька!
 

Философия «безопасность превыше всего»

Tangem стремится создать самый безопасный мобильный кошелек в криптопространстве. Наш подход к обеспечению безопасности приложений основан на признанных во всем мире передовых практиках таких организаций, как OWASP, и соответствует лучшим стандартам по безопасности и конфиденциальности, опубликованным Google и Apple.

Мы используем передовые и современные технологии, чтобы гарантировать, что создаём инновационный продукт, предлагающий пользователям уверенность и защиту при управлении их цифровыми активами. Например, DexProtector от Licel, который используется ведущими банковскими и платежными приложениями. 

DexProtector - это лучший вариант защиты программного обеспечения, одобренный EMVCo как для Android, так и для iOS. Он регулярно проходит аудит независимых компаний, чтобы обеспечить пользователям спокойствие и надёжность.

Пять основных принципов безопасности мобильных приложений

В Tangem действует полный набор мер безопасности для защиты пользовательских данных и защиты приложения от потенциальных угроз. Эти меры делятся на пять основных категорий:

1. Защита данных и конфиденциальность

Шифрование данных
Tangem шифрует абсолютно все данные, чтобы предотвратить доступ конфиденциальной информации 3-им лицам во время работы приложения. Этот подход соответствует рекомендациям OWASP MSTG (Открытый проект по лучшим практикам кибербезопасности), сводя к минимуму риск хакерских атак и несанкционированного доступа к данным.

Безопасное локальное хранилище
Tangem не хранит конфиденциальные данные в виде обычного текста на устройстве. Все данные надежно зашифрованы и изолированы внутри приложения — даже на взломанных или скомпрометированных устройствах злоумышленники не смогут до них добраться.

Обработка конфиденциальных данных
Когда пользователь копирует конфиденциальную информацию, такую как адреса кошельков или коды безопасности, Tangem гарантирует, что эти данные надежно обрабатываются как на платформах Android, так и на iOS. На Android скопированные данные помечаются в системе как конфиденциальные, что предотвращает к ним доступ сторонних приложения в фоновом режиме. 

На iOS приложение использует способ защиты на системном уровне и избегает ненужного использования буфера обмена, чтобы минимизировать риск. Эти меры предосторожности помогают предотвратить потенциальную утечку конфиденциальной информации через буфер обмена — распространенный, но часто упускаемый из виду способ атаки.

Очистка логов
Мы автоматически очищаем логи приложения, удаляя любые следы конфиденциальных данных. Все сетевые журналы также проходят тщательный процессинг — личная информация либо полностью стирается, либо маскируется. Такой подход сводит к нулю риски случайной утечки важных данных.

2. Защита приложения и надёжность выполнения

Контроль целостности

Приложение использует встроенные механизмы для проверки собственного кода и данных на предмет любых изменений. Это нужно, чтобы исключить запуск модифицированных или вредоносных версий. Такие проверки — важная часть самозащиты приложений (RASP), и OWASP MSTG настоятельно рекомендует их для поддержания безопасности и доверия.
 

Защита от отладки и эмуляции

В Tangem реализованы процессы, которые определяют, работает ли приложение под отладчиком или в эмуляторе. Злоумышленники часто используют эти инструменты для анализа кода, поиска уязвимостей или реверс-инжиниринга (исследования программы). Блокируя работу в таких условиях, приложение сводит к минимуму риск атак во время выполнения и утечки данных.
 

Распознавание рута и джейлбрейка

Приложение постоянно проверяет устройство на признаки рутирования или джейлбрейка. Если система скомпрометирована, доступ к критически важным функциям может быть ограничен. Это гарантирует, что основные операции (например, перевод активов) выполняются только в безопасных условиях.

3. Защищённое соединение

Прозрачность сертификатов

Все сетевые взаимодействия используют механизм Certificate Transparency для предотвращения выпуска и эксплуатации фальшивых SSL-сертификатов. Это не только обеспечивает криптографически надёжные соединения, но и исключает возможность скрытых атак через компрометированные центры сертификации.
 

Сетевая безопасность

Весь сетевой трафик передается по защищенным соединениям TLS (1.2 или выше). Приложение тщательно проверяет идентификаторы серверов, чтобы гарантировать их надёжность. Это помогает снизить риск хакерских атак, при этом поддерживая безопасную и заслуживающую доверия сеть.

4. Безопасность пользовательского интерфейса и ввода данных

Защита WebView

Tangem минимизирует риски, связанные с атаками между приложениями, особенно в WebView — уязвимом компоненте, который злоумышленники часто используют для взлома. Приложение строго контролирует выполнение JavaScript, проверяет SSL-сертификаты и гарантирует, что загружаемый в WebView контент проходит проверку на безопасность. 
 

Это сводит такие угрозы, как XSS-атаки, инъекции JavaScript и MITM (атаки «человек посередине»). Подход Tangem соответствует стандартам OWASP MSTG и рекомендациям Google по безопасности Android WebView.
 

Защита от подмены интерфейса (UI-перехват)

Одна из скрытых угроз — это оверлей-атаки, когда вредоносное приложение накладывает вредоносные элементы интерфейса поверх легитимного UI, манипулируя действиями пользователя. Tangem активно сканирует систему на наличие таких «невидимых» наложений, особенно в критически важных разделах, где выполнение операций требует подтверждения пользователя.

Этот тип атак входит в топ-10 угроз OWASP для мобильных приложений, и Tangem учитывает рекомендации Android по их блокировке.
 

Контроль ввода данных

Для защиты важной информации (например, seed-фраз или приватных ключей) Tangem применяет многоуровневую систему безопасности:

• Блокирует сторонние клавиатуры, снижая риск кейлоггинга.
• Избегает автозаполнение, проверку орфографии и другие системные функции, которые могут случайно сохранить конфиденциальные данные.
• Также использует безопасные настройки полей ввода, которые гарантируют, что содержимое является конфиденциальным и не кэшируется, регистрируется или предоставляется службам сторонних приложений.
   

Блокировка скриншотов и записи экрана

В полях с конфиденциальными данными (например, при отображении приватных ключей) Tangem полностью блокирует создание скриншотов и запись экрана. Это исключает утечку даже в случае, если устройство находится в видимости 3-их лиц.

Такая практика соответствует стандартам OWASP MSTG и особенно важна для криптоприложений, где потеря данных может привести к необратимым последствиям.

5. Архитектура и безопасность

Защита сессий и токенов

Безопасность активов и сессий — наш приоритет. Мы используем встроенные механизмы безопасного хранения данных на Android и iOS, исключая передачу или их хранение в открытом виде. Для дополнительной защиты сессии автоматически завершаются после периода бездействия — это сводит к минимуму риски даже в случае компрометации устройства.
 

Обзор кода и его аудит

Весь код, попадающий в релиз Tangem, проходит многоэтапную проверку. Потенциально уязвимые компоненты рассматриваются отдельно и проверяются вручную экспертами — это гарантирует их надежность и соответствие стандартам безопасности.

Помимо предрелизного контроля, мы регулярно проводим внутренние аудиты для оценки целостности и безопасности кодовой базы, а также используем автоматизированные инструменты для мониторинга уязвимостей на всех этапах разработки. Это помогает поддерживать высокий уровень защиты и минимизировать потенциальные риски.

Принцип минимального колличества разрешений

Приложение запрашивает только те разрешения, которые действительно необходимы для работы кошелька. Такой подход уменьшает поверхность для атак и защищает пользовательские данные, исключая доступ к лишним функциям устройства.

Это не только повышает безопасность, но и делает работу приложения более прозрачной — в соответствии с лучшими практиками OWASP и рекомендациями Apple и Google.

Всё это — часть нашего подхода к созданию безопасного и удобного продукта, которому пользователи могут доверять!

Так почему же кошелёк Tangem не имеет собственного экрана?

Всё просто — Tangem устроен так, что экран ему просто не нужен. Все основные операции происходят внутри защищённого мобильного приложения, которое берёт на себя всю работу с транзакциями и данными. Это не только делает использование кошелька интуитивным, но и обеспечивает высочайший уровень безопасности благодаря многоуровневой защите, о которой мы написали выше.

Подводим итоги

Tangem — это не просто кошелёк, это новый стандарт безопасности в криптопространстве. Здесь продумано всё: от шифрования данных до защиты от атаки во время выполнения операций. Если вам важно хранить активы максимально безопасно, но при этом без лишних сложностей, Tangem — отличный выбор. Это баланс между надёжностью и удобством, подкреплённый передовыми технологиями.

Вопросы и ответы: Безопасность кошелька Tangem

Как Tangem обеспечивает защиту мобильного приложения?

Приложение Tangem Wallet построено с расчётом на максимальную безопасность без лишних сложностей. Все важнейшие операции защищены многоуровневой системой: от шифрования данных до мониторинга угроз в реальном времени. Это позволяет обойтись без неудобного аппаратного обеспечения, сохраняя удобство и надёжность.

Какие данные шифруются?

Всё, что может представлять интерес для злоумышленника: данные кошелька, файлы cookie и другая личная информация. Никакие конфиденциальные данные не хранятся в открытом виде — даже локально на устройстве.

Что, если я потеряю телефон или его взломают?

Кошелёк останется в безопасности. Приложение автоматически блокирует доступ к важным операциям (к примеру, перевод на другой кошелёк) на рутированных или скомпрометированных устройствах. Сессии завершаются после некоторого бездействия, а средства хранятся в защищённом хранилище, разработанном для конкретной платформы.

Как Tangem борется с атаками через буфер обмена?

На Android приложение помечает скопированные данные как конфиденциальные, блокируя доступ к ним со стороны других приложений. На iOS взаимодействие с буфером обмена сведено к минимуму, что исключает одно из самых распространённых мест атаки.

Можно ли взломать или модифицировать приложение?

Нет. Tangem проверяет целостность кода перед релизом. Если приложение было изменено (например, из-за взлома или вредоносного ПО), оно просто не откроется. Это гарантирует, что работать будет только оригинальная, неизменённая версия.

Как обеспечивается безопасность при работе с серверами?

Все соединения защищены современными версиями TLS (1.2 и выше) с привязкой сертификатов и соответствующей прозрачности для предотвращения MITM-атак или компрометации приложения — ваши данные передаются в зашифрованном виде и только на проверенные серверы.

Можно ли сделать скриншот или запись экрана в Tangem?

Нет. В разделах, где отображаются конфиденциальные данные (например, seed-фразы или приватные ключи), функция создания скриншотов и записи экрана заблокирована на системном уровне. Это защищает от утечки, даже если устройство или приложение скомпрометированы.

Как защищён ввод данных от кейлоггинга?

В полях для ввода конфиденциальной информации отключены автозаполнение, проверка орфографии и сторонние функции. Кроме того, приложение отслеживает использование пользовательских клавиатур, которые могут быть инструментом для перехвата ввода.

Что такое атака через оверлей и как Tangem с ней борется?

Это метод, когда поверх интерфейса приложения накладывается невидимый слой, имитирующий кнопки или поля. Кошелёк Tangem анализирует активные элементы на экране и блокирует подозрительные действия, особенно в критически важных разделах — например, при подтверждении транзакций.

Какие разрешения нужно предоставить кошельку Tangem?

Приложение работает по принципу минимальных требований: запрашивает только то, что необходимо для базовой функциональности кошелька. Никакого лишнего доступа к данным устройства — это снижает риски и повышает прозрачность работы.