資料安全公司報告顯示,駭客已經無需密碼就能獲取用戶在 Google Drive、Dropbox、微軟 OneDrive 及其它雲端存儲平台的資料了。這份報告由資料安全公司Imperva在近日的全球黑帽駭客大會(Black Hat Conference)上公布,報告指這個最新的駭客手段名為「雲端中間人」(man-in-the-cloud, MITC),能輕易進入各大雲端存取應用的漏洞,冒充用戶帳號,且神不知鬼不覺,目前並沒有有效的檢測與預防手段。由於該技術不通過密碼駭入,因此常用的修改密碼方法也不會起效。
這些應用在給用戶(Google Drive、DropBox等)提供極大便利的同時,也爲黑客入侵命令與控制結構提供了理想的平台。
「雲端中間人」的攻擊方式不同於以往,它利用的是雲端服務的同步化機制。由於提供同步服務的雲端應用會給用戶的各個裝置授予「同步化授權」,駭客就可以利用該授權來完成用戶身份驗證,成功冒充用戶同步、複製、變更、新增或刪除資料,甚至植入木馬。這種「同步化授權」和每個裝置都綁定在一起,只要通過一種「切換器」工具就可以獲取。由於這種工具只修改了電腦的極少設定,攻擊即使在事後也很難被偵測到。換言之,每個被攻擊過的人都可能難以察覺自己的資料被盜取或變更。
由於雲端服務的便利性,越來越多的企業與個人將其視為重要的資料存儲與共享平台。但安全性存疑的雲端服務也在近年成為了駭客攻擊的重要目標。2015年5月和7月已有類似攻擊手段被發現。發現「雲端中間人」技術的資料安全公司Imperva技術總監Amichai Shulman表達了對此的擔憂,認為谷歌與微軟等雲端服務供應商應該正視安全漏洞,儘快找出解決方案。但Google Drive與Dropbox部門都拒絕回應。
聲音
我們的研究揭示了網絡犯罪要通過線上同步獲取內容是多麼容易,而我們要發現與修復這種攻擊又是多麼的困難。
谷歌作為一個大公司,出現如此嚴重的安全漏洞,應該道歉和負責。
雲端儲存
來源:iThome、ZDNet、First Post、eSecurity Planet
2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,也期待你付費支持我們。
