blockchain.info漏洞允许攻击者窃取比特币钱包备份文件

发布时间:2017-11-14     来源:黑客视界   

       Blockchain.info是一个提供比特币加密货币钱包以及比特币区块链数据查询的综合型服务。该服务于2011年8月开始,提供关于最新的比特币交易信息、比特币区块链图表中的开采区块以及开发者的统计资料和资源等查询功能。

       安全研究员Shashank在blockchain.info中发现了一个严重的漏洞,允许他能够以微不足道的用户交互方式窃取任何人的比特币钱包备份文件。

       研究人员表示,Blockchain.info的备份功能允许用户创建了一个JSON文件,该文件是用户帐户的备份,可供用户自己下载或将其快速存储到Gdrive(谷歌云端硬盘)或Dropbox帐户中。

       如果这个JSON文件遭到盗窃,窃匪便可以轻松地在blockchain.info中导入它,并从用户账户中拿走所有的资产。

       Shashank说:“我注意到,一旦你点击了存储到Gdrive或Dropbox的按钮,你将被要求登录你的Gdrive或Dropbox帐户。一旦授权,blockchain.info将自动存储JSON文件到你的Gdrive或Dropbox中。”

       进行Gdrive身份验证时,会生成一个链接,但不包含任何CSRF令牌:

       “https://blockchain.info/wallet/gdrive-update?code={YourGdriveToken}”

       现在,如果攻击者想要窃取任何人的JSON文件,他将执行以下操作:

       1-在blockchain.info使用GDrive账户进行登录;

       2-获得上述中不包含CSRF令牌的链接;

       3-将自己的Gdrive令牌添加到链接中并发送给受害者;

       “https://blockchain.info/wallet/gdrive-update?code={GoogledriveToken} ”

       4-受害者点击链接后,JSON文件将自动存储到攻击者的谷歌云端硬盘。



原文地址: https://www.hackeye.net/threatintelligence/10687.aspx

网安时情快速查询

最新漏洞

更多