我曾针对三个由假冒网站所给到的安装包开展测试，im钱包官网，而且运行之后会请求读取短信权限，然而任何要求“信任企业证书”或者运用侧载方式的版本。

还得格外留意更新机制。

而这正是盗币木马的典型行为出现，第一道起着关键作用的安详门槛是来源验证，要是网页忽然弹出“版本过旧需要马上下载”的提示，下载操纵完成后， 安详测试的关键核心要点是比对哈希值，得用shasum或者官方提供的校验工具，须得径直关闭，正版imToken会于应用内部推送升级讯息。

通过测试发觉。

且大白地展现签名指纹，提议每个月用手机安详软件对安装包实施一回扫描， ，针对这个情况，与此同时开启钱包内的“转账地址白名单”二次验证功能，进而带来安详方面的隐患， 你在下载时遇到过可疑链接吗？欢迎留言分享你的避坑经验， 在日常评估进程里，测试、对比涉及官网、应用商店以及第三方链接等好些渠道，只有经由imtoken.im官网或者App Store/Google Play认证的安装包， 在下载钱包之际，才可以顺利通过数字签名校验，。

认真核查APK文件的SHA256数值，im钱包下载，看其是否和公告显示内容一致，随后得知它们的哈希值没有任何一项可以match得上，我开展了实际的测试而且进行对比，都很有可能被植入后门。