查看原文
其他

​比特币交易并没有用户想象中安全

2017-08-25 E安全编辑部 E安全

E安全8月25日讯 网络商家常常会泄露与购买活动相关的数据。网络安全研究人员们指出,这很可能将个人与比特币购买行为联系起来。

越来越多的在线商家开始允许用户使用加密比特币进行支付交易。这项技术的核心优势之一,在于其强大的匿名性:尽管交易过程会进行记录与发布,但却仅与用户提供的电子地址相关联。因此,无论您使用比特币购买怎样的产品,其他人都无法借此追踪到您本人。

为什么说比特币匿名交易并不完美?


虽然这样的能力对于部分用户而言确实非常方便,但其匿名性还远称不上完美。安全专家们更倾向于将其称为匿名隐私,因为这类似于用化名写书。只要化名与您没有关联,大家就可以顺利保护自己的隐私。然而,一旦有人发现了化名与作者间的关系,那么真相将迅速浮出水面,这意味着同一化名下的整个写作历史都将变得不再是秘密。同样的,一旦您的个人资料与比特币地址关联起来,您的整个购买记录也将遭到曝光。

这无疑给希望使用比特币进行匿名支付的用户们带来了重要的问题:将个人资料与比特币交易联系起来,到底难度如何?

Web追踪器以及cookies

今天,我们从普林斯顿大学的史蒂芬·戈德菲尔德及其好友处得到了上述问题的答案。他们表示,一般性购买活动当中的信息显示方式,将使得相关个人与比特币支付以直观方式联系起来,即使采用CoinJoin等额外的隐私保护手段,仍无法彻底解决这个问题。

而造成这一结果的罪魁祸首在于Web追踪器以及cookies,这些代码片段会被故意嵌入至网站当中,用以向第三方发送与网站使用方式相关的信息。常见的各类Web追踪器会向谷歌、Facebook以及其它厂商发送信息,用以追踪页面使用情况、购买金额以及浏览习惯等等。一部分追踪器甚至会直接发送个人身份信息,包括用户的姓名、地址与电子邮件等等。

通过这种方式,相关交易信息会被泄露到网络上,而政府、执法机构以及恶意人士则可随时进行收集和分析。

戈德菲尔德和他的调查员同伴们希望了解,利用此类信息将个人与其比特币交易联系起来究竟难度如何。这一过程要求窥探者掌握目标的个人身份信息,例如姓名与电子邮件,而后将其与特定比特币地址进行比较。

超三成商家有意泄露交易信息

调查团队首先列出了允许进行比特币交易的各主要商家,并从中挑选出130家,且包括微软、NewEgg以及Overstock等知名企业。

接下来,他们研究了Web追踪器如何在购买过程当中从站点处泄露信息。戈德菲尔德和同事们解释称,“在全部130家调查商家当中,至少有53家将付款信息泄露给最少30个第三方组织机构,且其中大部分信息来自购物车页面。”其中大部分信息泄露行为属于有意为之,旨在用于广告宣传与分析。

研究人员们同时指出,Web追踪器也会发送部分额外信息。例如他们发现一部分商家网站的信息泄露问题更为严重(可能属于无意行为),其直接将区块链上的交易披露给数十款追踪器。”

这对于希望以匿名方式利用比特币进行购物的用户显然不是什么好消息。

另外,即使交易本身的匿名性得以保证,恶意人士仍然可以通过购买数量与时间等信息将操作与用户关联起来。

在这种情况下,窥探者需要根据当时的汇率将购买金额换算为比特币,而后立足特定时间段进行交易搜索。搜索结果将显示用户的比特币地址。如此一来,我们即可据此找到更多使用同一地址完成的比特币交易。

交易操作关联用户仍存在困难


不过另一些因素则可能让整个关联过程变得更为困难。Web追踪器可能会提供产品价格,但其中并不包括配送价格,这意味着买家所支付的比特币总数将难以确定。

另外,用户在查看作为泄露信息源头的页面(例如结账页面)与实际进行购买之间,可能存在着显著的时间差异。比特币交易中包含有时间戳,因此如果时间无法确定,那么整个追踪过程也将变得极为困难。

购买金额通常以当地货币(例如美元或英镑)为单位给出,并在购买时换算为比特币。由于比特币汇率存在巨大的波动性,因此如果购买时间不准确,我们也将难以计算出可靠的比特币数量。

这一切因素都使得我们很难将个人与比特币交易关联起来,但必须强调的是,可能性仍然存在。研究人员们发现,在超过六成的案例当中,此类参数都具有一定现实意义,即可用于实现关联。”

使用CoinJoin仍可能增加回溯准确性

当然,市面上也存在着进一步隐藏比特币交易的方法。其中最具人气的正是CoinJoin——这是一项将有意进行同类支付交易的用户加以汇总的服务,意味着他们可以进行共同支付。由于采取集中比特币付款方式,因此识别其中的特定个人将变得更加困难。

然而,戈德菲尔德及其同事亦指出,如果某一个人利用CoinJoin进行多次购买,则进行身份回溯的难度将大大降低:“如果受害者使用三次CoinJoin,而恶意一方观察到其中的两次支付操作,则将可实现高达98%的回溯准确率。”

买家也可以使用Ghostery、AdBlock Plus或者uBlock Origin等工具以保护自身。虽然其确实有用,但有时可能仍会放过部分追踪器,甚至会直接阻止交易进行。戈德菲尔德及其同事解释道,“此类防御工具虽然非常有效,但还远称不上完美。”

毫无疑问,上述消息对于希望保护自身在线隐私的用户们而言,无疑相当令人沮丧。

不过这一切对于希望追踪恶意活动的执法机构而言,却相当于一种福音。戈德菲尔德及其同事坦言,“正如其它针对加密货币匿名化能力的攻击手段一样,我们的技术也可用于构建以执法为目的的取证工具。”

也正如其它去匿名化攻击手段一样,戈德菲尔德等人发现的方法同样既有优势、又存在缺陷。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/245143180.shtml

相关阅读:

▼点击“阅读原文” 下载E安全APP

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存