Blockchain.info是一個(gè)提供比特幣加密貨幣錢包以及比特幣區(qū)塊鏈數(shù)據(jù)查詢的綜合型服務(wù)。該服務(wù)于2011年8月開始,提供關(guān)于最新的比特幣交易信息、比特幣區(qū)塊鏈圖表中的開采區(qū)塊以及開發(fā)者的統(tǒng)計(jì)資料和資源等查詢功能。安全研究員Shashank在blockchain.info中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞,允許他能夠以微不足道的用戶交互方式竊取任何人的比特幣錢包備份文件。
研究人員表示,Blockchain.info的備份功能允許用戶創(chuàng)建了一個(gè)JSON文件,該文件是用戶帳戶的備份,可供用戶自己下載或?qū)⑵淇焖俅鎯?chǔ)到Gdrive(谷歌云端硬盤)或Dropbox帳戶中。
如果這個(gè)JSON文件遭到盜竊,竊匪便可以輕松地在blockchain.info中導(dǎo)入它,并從用戶賬戶中拿走所有的資產(chǎn)。
Shashank說:“我注意到,一旦你點(diǎn)擊了存儲(chǔ)到Gdrive或Dropbox的按鈕,你將被要求登錄你的Gdrive或Dropbox帳戶。一旦授權(quán),blockchain.info將自動(dòng)存儲(chǔ)JSON文件到你的Gdrive或Dropbox中。”
進(jìn)行Gdrive身份驗(yàn)證時(shí),會(huì)生成一個(gè)鏈接,但不包含任何CSRF令牌:
“https://blockchain.info/wallet/gdrive-update?code={YourGdriveToken}”
現(xiàn)在,如果攻擊者想要竊取任何人的JSON文件,他將執(zhí)行以下操作:
1-在blockchain.info使用GDrive賬戶進(jìn)行登錄;
2-獲得上述中不包含CSRF令牌的鏈接;
3-將自己的Gdrive令牌添加到鏈接中并發(fā)送給受害者;
“https://blockchain.info/wallet/gdrive-update?code={GoogledriveToken} ”
4-受害者點(diǎn)擊鏈接后,JSON文件將自動(dòng)存儲(chǔ)到攻擊者的谷歌云端硬盤。