閱讀474 返回首頁    go 比特幣

比特幣交易並沒有用戶想象中安全

E安全8月25日訊 網絡商家常常會泄露與購買活動相關的數據。網絡安全研究人員們指出,這很可能將個人與比特幣購買行為聯係起來。

越來越多的在線商家開始允許用戶使用加密比特幣進行支付交易。這項技術的核心優勢之一,在於其強大的匿名性:盡管交易過程會進行記錄與發布,但卻僅與用戶提供的電子地址相關聯。因此,無論您使用比特幣購買怎樣的產品,其他人都無法借此追蹤到您本人。

為什麼說比特幣匿名交易並不完美?

雖然這樣的能力對於部分用戶而言確實非常方便,但其匿名性還遠稱不上完美。安全專家們更傾向於將其稱為匿名隱私,因為這類似於用化名寫書。隻要化名與您沒有關聯,大家就可以順利保護自己的隱私。然而,一旦有人發現了化名與作者間的關係,那麼真相將迅速浮出水麵,這意味著同一化名下的整個寫作曆史都將變得不再是秘密。同樣的,一旦您的個人資料與比特幣地址關聯起來,您的整個購買記錄也將遭到曝光。

這無疑給希望使用比特幣進行匿名支付的用戶們帶來了重要的問題:將個人資料與比特幣交易聯係起來,到底難度如何?

Web追蹤器以及cookies

今天,我們從普林斯頓大學的史蒂芬·戈德菲爾德及其好友處得到了上述問題的答案。他們表示,一般性購買活動當中的信息顯示方式,將使得相關個人與比特幣支付以直觀方式聯係起來,即使采用CoinJoin等額外的隱私保護手段,仍無法徹底解決這個問題。

而造成這一結果的罪魁禍首在於Web追蹤器以及cookies,這些代碼片段會被故意嵌入至網站當中,用以向第三方發送與網站使用方式相關的信息。常見的各類Web追蹤器會向穀歌、Facebook以及其它廠商發送信息,用以追蹤頁麵使用情況、購買金額以及瀏覽習慣等等。一部分追蹤器甚至會直接發送個人身份信息,包括用戶的姓名、地址與電子郵件等等。

通過這種方式,相關交易信息會被泄露到網絡上,而政府、執法機構以及惡意人士則可隨時進行收集和分析。

戈德菲爾德和他的調查員同伴們希望了解,利用此類信息將個人與其比特幣交易聯係起來究竟難度如何。這一過程要求窺探者掌握目標的個人身份信息,例如姓名與電子郵件,而後將其與特定比特幣地址進行比較。

超三成商家有意泄露交易信息

調查團隊首先列出了允許進行比特幣交易的各主要商家,並從中挑選出130家,且包括微軟、NewEgg以及Overstock等知名企業。

接下來,他們研究了Web追蹤器如何在購買過程當中從站點處泄露信息。戈德菲爾德和同事們解釋稱,“在全部130家調查商家當中,至少有53家將付款信息泄露給最少30個第三方組織機構,且其中大部分信息來自購物車頁麵。”其中大部分信息泄露行為屬於有意為之,旨在用於廣告宣傳與分析。

研究人員們同時指出,Web追蹤器也會發送部分額外信息。例如他們發現一部分商家網站的信息泄露問題更為嚴重(可能屬於無意行為),其直接將區塊鏈上的交易披露給數十款追蹤器。”

這對於希望以匿名方式利用比特幣進行購物的用戶顯然不是什麼好消息。

另外,即使交易本身的匿名性得以保證,惡意人士仍然可以通過購買數量與時間等信息將操作與用戶關聯起來。

在這種情況下,窺探者需要根據當時的匯率將購買金額換算為比特幣,而後立足特定時間段進行交易搜索。搜索結果將顯示用戶的比特幣地址。如此一來,我們即可據此找到更多使用同一地址完成的比特幣交易。

交易操作關聯用戶仍存在困難

不過另一些因素則可能讓整個關聯過程變得更為困難。Web追蹤器可能會提供產品價格,但其中並不包括配送價格,這意味著買家所支付的比特幣總數將難以確定。

另外,用戶在查看作為泄露信息源頭的頁麵(例如結賬頁麵)與實際進行購買之間,可能存在著顯著的時間差異。比特幣交易中包含有時間戳,因此如果時間無法確定,那麼整個追蹤過程也將變得極為困難。

購買金額通常以當地貨幣(例如美元或英鎊)為單位給出,並在購買時換算為比特幣。由於比特幣匯率存在巨大的波動性,因此如果購買時間不準確,我們也將難以計算出可靠的比特幣數量。

這一切因素都使得我們很難將個人與比特幣交易關聯起來,但必須強調的是,可能性仍然存在。研究人員們發現,在超過六成的案例當中,此類參數都具有一定現實意義,即可用於實現關聯。”

使用CoinJoin仍可能增加回溯準確性

當然,市麵上也存在著進一步隱藏比特幣交易的方法。其中最具人氣的正是CoinJoin——這是一項將有意進行同類支付交易的用戶加以匯總的服務,意味著他們可以進行共同支付。由於采取集中比特幣付款方式,因此識別其中的特定個人將變得更加困難。

然而,戈德菲爾德及其同事亦指出,如果某一個人利用CoinJoin進行多次購買,則進行身份回溯的難度將大大降低:“如果受害者使用三次CoinJoin,而惡意一方觀察到其中的兩次支付操作,則將可實現高達98%的回溯準確率。”

買家也可以使用Ghostery、AdBlock Plus或者uBlock Origin等工具以保護自身。雖然其確實有用,但有時可能仍會放過部分追蹤器,甚至會直接阻止交易進行。戈德菲爾德及其同事解釋道,“此類防禦工具雖然非常有效,但還遠稱不上完美。”

毫無疑問,上述消息對於希望保護自身在線隱私的用戶們而言,無疑相當令人沮喪。

不過這一切對於希望追蹤惡意活動的執法機構而言,卻相當於一種福音。戈德菲爾德及其同事坦言,“正如其它針對加密貨幣匿名化能力的攻擊手段一樣,我們的技術也可用於構建以執法為目的的取證工具。”

也正如其它去匿名化攻擊手段一樣,戈德菲爾德等人發現的方法同樣既有優勢、又存在缺陷。

注:本文由E安全編譯報道,轉載請注明原文地址

最後更新:2017-08-26 02:13:07

  上一篇:go 速擴散!比特幣勒索病毒全球爆發,趕緊看看你的電腦
  下一篇:go 遊戲行業最懂區塊鏈的創業者:ICO 5000 BTC,GC遊戲鏈構建遊戲生態