|
在互联网技术突飞猛进的今天,“云端”已经成为数据的存储空间,当个人文件、视频、照片等暂时不需要但又不能彻底删除时,人们就会选择以数据形式将其上传至“云端”。享有便利的同时,我们不禁疑惑,在“正在为你加密传输”的上传提示背后,我们的“个人信息”真的得到安全保护了吗? 西安邮电大学密码技术实验室研究小组发现,国内多款云盘存在重大安全隐患,使用抓包软件(拦截查看网络数据包内容的软件)抓取数据包的结果显示上传的还是明文,文件实际并未真正加密。 实验过程:抓取云盘上传数据包,发现并未加密,可随意查看、删改西安邮电大学密码技术实验室研究小组成员利用广为使用的普通网络抓包软件Fiddler与Wireshark,对上传的数据包进行抓取。结果显示,当用户使用某云盘进行数据上传和下载时,云盘客户端和服务器之间的通信是以传统的HTTP协议进行的,而HTTP协议传输的数据是没有经过任何加密处理的明文,在抓取页面中可以查看到刚刚上传的文件、图片,并可以随意查看、修改、删除用户在网盘内的文件。 西安邮电大学任方博士介绍,攻击者可以轻易通过对传输的数据进行简单的网络抓包,以窃取用户的明文数据,如果信息加密,即使用https协议进行加密,在抓取时看到的是代码,而不是文件本身。而黑客能够对云盘发起“重放攻击”,只需利用已经窃取到的用户历史访问数据,适当修改文件属性,就可以对用户的其他数据进行读取与删除操作。 有关企业:百度将不断改进产品 华为已加密存储 据IT业数据统计权威机构Big Data于2016年1月公布的数据,百度云盘月活跃用户为3834.2万人,以绝对优势排名第一,所占比例超过50%;华为网盘月活跃用户1402.1万人,排名第二位;360云盘排第三,月活跃用户674.8万人。这些国内主流云盘网站都在隐私保护中承诺对用户文件使用加密存储,而实际应用中不能保证没有安全性问题。 问题发现后,相关企业也在第一时间作出回应。百度公司称,针对研究机构指出的漏洞,他们暂时没有接到用户关于存储数据没有被加密保护、或被删除数据等安全隐患的投诉,研发团队之后会不断改进产品;华为公司回复,华为网盘业务从2015年年中已开始做全站HTTPS转换,至2016年6月完成,所有用户数据均为加密存储,即使硬盘拿出机房,也无法解析其中的数据。同时,网盘系统有超时自动退出机制,不存在黑客根据用户历史访问信息、删除用户数据的问题。 后续发展:学校研究机构和企业将持续高度重视信息安全问题互联网技术是不断更新的,没有技术能做到百分百安全,因此,相关研究机构和企业应高度重视此类信息安全问题,积极寻求解决方案,为广大用户提供安全的云存储服务。 作为我国特别是西北地区信息产业高级专门人才培养的重要基地,西安邮电大学以信息科学技术为特色,将高新技术的开发研究和产业化应用作为研究重点,在通信专用集成电路设计、移动通信、图像处理、信息安全和信息产业经济等研究方向形成特色和优势。学校研发的“虎符TePA”成为在信息安全基础共性技术领域我国提交并获通过的第一个国际标准。 在这里,西安邮电大学贴心提示:广大用户一定要注意提高安全防护意识,云盘或网盘可以作为非保密信息(如影视、公开资料等)的共享渠道,但是尽量不要把私密的文件上传至“云端”,如果不得不上传,最好是短期存储。 |
|
|
来自: 昵称11935121 > 《未命名》
