据国外安全研究人员报告称,该研究人员在Blockchain.info服务中发现了一个严重的安全漏洞,该漏洞能允许攻击者以微不足道的用户交互方式来窃取任何与之交互过的用户的比特币钱包备份文件。
Blockchain.info服务是一项为比特币加密货币钱包和别特别区块链数据查询的综合性技术服务,这项服务可以追溯到2011年8月,Blockchain.info可以提供最新的比特币交易信息、比特币区块链图表中开采区块和开发者统计资料资源等功能,可谓是比特币玩家十分重要的服务。
据悉,Blockchain.info的备份功能能够允许用户创建一个JSON文件,该文件为用户账户的备份内容,用户可以利用该备份下载或将其账户信息存储到谷歌云端硬盘存储。这个备份文件一旦遭到黑客窃取,那么攻击者就能轻易的在Blockchain.info服务中导入这名用户的账户信息,并且从账户中拿走所有资产。
所以用户想要将备份的JSON文件上传至谷歌云端硬盘或Dropbox中存储时,会被要求登入谷歌云端和Dropbox账户,一旦授权上传后Blockchain.info就会自动存储JSON文件至谷歌云端和Dropbox中,进行Gdrive身份验证时,服务会生成一个链接,但不包含任何CSRF令牌。而攻击者正是利用这一点进行窃取的。
首先攻击者在Blockchain.info中登录谷歌云端账户,然后获取上述不包含CSRF令牌链接。再将自己谷歌云端令牌添加到链接中发送给目标用户,一旦目标用户点击链接后,JSON文件就会自动存储到攻击者的谷歌云端硬盘当中从而使用户的比特币账户资产遭窃。