资料安全公司报告显示,骇客已经无需密码就能获取用户在 Google Drive、Dropbox、微软 OneDrive 及其它云端存储平台的资料了。这份报告由资料安全公司Imperva在近日的全球黑帽骇客大会(Black Hat Conference)上公布,报告指这个最新的骇客手段名为“云端中间人”(man-in-the-cloud, MITC),能轻易进入各大云端存取应用的漏洞,冒充用户帐号,且神不知鬼不觉,目前并没有有效的检测与预防手段。由于该技术不通过密码骇入,因此常用的修改密码方法也不会起效。
这些应用在给用户(Google Drive、DropBox等)提供极大便利的同时,也为黑客入侵命令与控制结构提供了理想的平台。
“云端中间人”的攻击方式不同于以往,它利用的是云端服务的同步化机制。由于提供同步服务的云端应用会给用户的各个装置授予“同步化授权”,骇客就可以利用该授权来完成用户身份验证,成功冒充用户同步、复制、变更、新增或删除资料,甚至植入木马。这种“同步化授权”和每个装置都绑定在一起,只要通过一种“切换器”工具就可以获取。由于这种工具只修改了电脑的极少设定,攻击即使在事后也很难被侦测到。换言之,每个被攻击过的人都可能难以察觉自己的资料被盗取或变更。
由于云端服务的便利性,越来越多的企业与个人将其视为重要的资料存储与共享平台。但安全性存疑的云端服务也在近年成为了骇客攻击的重要目标。2015年5月和7月已有类似攻击手段被发现。发现“云端中间人”技术的资料安全公司Imperva技术总监Amichai Shulman表达了对此的担忧,认为谷歌与微软等云端服务供应商应该正视安全漏洞,尽快找出解决方案。但Google Drive与Dropbox部门都拒绝回应。
声音
我们的研究揭示了网络犯罪要通过线上同步获取内容是多么容易,而我们要发现与修复这种攻击又是多么的困难。
谷歌作为一个大公司,出现如此严重的安全漏洞,应该道歉和负责。