不起眼的漏洞,微软 OneDrive 短链接功能被指为黑客开后门
∮仗剑ノ天涯 UID.437137
2016-04-17 发表
本帖最后由 newsmanager 于 2016-4-17 11:45 编辑
Quote在和你的好友分享内容方面,短链接可能会很有用,但是研究者发现,它们也可能泄露你的私人信息
***附件停止解析***
研究者已经发现,来自云服务的短链接可以被黑客利用来定位私人资源,比如文件、医疗信息,甚至是驾车行驶方向。
来自康奈尔大学的研究者已经发布了相关的论文,证明了在云服务上使用短链接的严重隐私风险,比如微软的 OneDrive、Google 地图,等等。
短链接的主要问题就是它们包含的令牌,长度为 6~7 个字符,这足以让黑客猜到被分享的文件的真实地址。所以相关的网址可以被网络上的任何人获取,而不仅仅是进行分享行为的双方。
***附件停止解析***
更加糟糕的是,因为云服务经常在用户的电脑和云端进行同步,针对某个文件的短链接可以引导黑客找寻该用户的其他所有文件。研究者也认为,通过这种手段,黑客们也可以向目标文件中注入恶意程序。
在短链接上类似的漏洞被发现存在于微软的 OneDrive、Google Drive、Google 地图以及 Bing 地图中。
微软在 3 月份移除了 OneDrive 通过短链接进行分享的功能。但是,根据研究者的说法,这家公司否认了对该特性的移除,因为前者在此之前就出台了一份针对 OneDrive 的易损性报告,并在去年的 5 月把这个问题上报给了微软。
他们也在去年 9 月份提醒了 Google。在一周之后,Google 把短链接中令牌的长度增加到了 11~12 个字符,这让其变得更加难以破解。
***附件停止解析***
在地图应用上,研究者发现短链接会泄露分享者的地理位置以及行进方向。
正如之前另外一家媒体的报道,在研究 OneDrive 的短链接泄露情况时,研究者扫描了 1000 万条短链接,最终从 2 万短链接中找到了真实文件的地址。而另外一个针对 7 位令牌字符长度的 OneDrive 短链接功能测试中,大约有 10 万文档几乎处于暴露状态。
各位智友使用短链接的情况多吗?你们怎么看待短链接的安全问题?欢迎留言交流~
***链接停止解析***
相关新闻:
***链接停止解析***
敬告:
为防止不可控的内容风险,本站已关闭新用户注册,新贴的发表及评论;
你现在看到的内容只是互联网用户曾经发表的言论快照,仅用于老用户留存纪念,且仅与科技行业相关,全部内容不代表本站观点及立场;
本站重新开放前已针对包括用户隐私、版权保护、信息安全、国家政策在内的各种互联网法律法规要求,执行了隐患内容的自查、屏蔽和删除;
本站目前所属个人主体,未有任何盈利安排与计划,且与原WFUN.COM所属公司不存在任何关联关系;
如果本帖内容或者相关资源侵犯到您的合法权益,或者您认为存在问题,那么请您务必点此举报或投诉!
为防止不可控的内容风险,本站已关闭新用户注册,新贴的发表及评论;
你现在看到的内容只是互联网用户曾经发表的言论快照,仅用于老用户留存纪念,且仅与科技行业相关,全部内容不代表本站观点及立场;
本站重新开放前已针对包括用户隐私、版权保护、信息安全、国家政策在内的各种互联网法律法规要求,执行了隐患内容的自查、屏蔽和删除;
本站目前所属个人主体,未有任何盈利安排与计划,且与原WFUN.COM所属公司不存在任何关联关系;
如果本帖内容或者相关资源侵犯到您的合法权益,或者您认为存在问题,那么请您务必点此举报或投诉!
全部回复: