西安邮电大学(简称西邮)密码技术实验室近日发布消息:百度云盘、华为网盘、360云盘等国内多款云盘存在安全隐患,建议相关研究机构和企业应高度重视此类信息安全问题,积极寻求解决方案。
西邮研究小组负责人郑东教授对科技日报记者说,用户在使用百度云盘进行数据上传和下载过程中,百度云盘客户端和服务器之间的通信是以HTTP协议进行的,而HTTP协议作为传统的网络传输协议,传输的数据是没有经过加密的明文,因此攻击者(黑客)通过对传输的数据进行简单的网络抓包(即对网络上的数据包直接进行截取)就能够窃取明文数据。研究小组仅使用普通的网络抓包软件Fiddler与Wireshark进行网络抓包就验证了上述结果。
郑东指出,比窃取消息更为严重的是,黑客还能够发起“重放攻击”。即利用窃取到的用户历史访问数据,适当修改文件名和路径,就可以对用户的所有数据进行读取和删除操作。如用户曾经向服务器发出过请求“删除文件A”,黑客窃取到该请求并将其修改为“删除文件B”后发送给服务器,可以成功删除文件B。通过对其他同类产品进行安全性分析,结果显示,其他国内主流云储存产品华为网盘、360云盘、天翼云、115网盘和新浪微盘都没有对用户的数据进行加密保护。
该研究小组提醒用户在使用云盘时需格外小心谨慎,尽量不要用云盘存储私密信息,以防止信息泄露,造成不可挽回的损失,同时建议云盘服务提供商从技术上增强对用户数据的保密。(记者史俊斌 通讯员任方)
西安邮电大学(简称西邮)密码技术实验室近日发布消息:百度云盘、华为网盘、360云盘等国内多款云盘存在安全隐患,建议相关研究机构和企业应高度重视此类信息安全问题,积极寻求解决方案。
西邮研究小组负责人郑东教授对科技日报记者说,用户在使用百度云盘进行数据上传和下载过程中,百度云盘客户端和服务器之间的通信是以HTTP协议进行的,而HTTP协议作为传统的网络传输协议,传输的数据是没有经过加密的明文,因此攻击者(黑客)通过对传输的数据进行简单的网络抓包(即对网络上的数据包直接进行截取)就能够窃取明文数据。研究小组仅使用普通的网络抓包软件Fiddler与Wireshark进行网络抓包就验证了上述结果。
郑东指出,比窃取消息更为严重的是,黑客还能够发起“重放攻击”。即利用窃取到的用户历史访问数据,适当修改文件名和路径,就可以对用户的所有数据进行读取和删除操作。如用户曾经向服务器发出过请求“删除文件A”,黑客窃取到该请求并将其修改为“删除文件B”后发送给服务器,可以成功删除文件B。通过对其他同类产品进行安全性分析,结果显示,其他国内主流云储存产品华为网盘、360云盘、天翼云、115网盘和新浪微盘都没有对用户的数据进行加密保护。
该研究小组提醒用户在使用云盘时需格外小心谨慎,尽量不要用云盘存储私密信息,以防止信息泄露,造成不可挽回的损失,同时建议云盘服务提供商从技术上增强对用户数据的保密。(记者史俊斌 通讯员任方)
