不起眼的漏洞,微软 OneDrive 短链接功能被指为黑客开后门

∮仗剑ノ天涯 UID.437137
2016-04-17 发表

本帖最后由 newsmanager 于 2016-4-17 11:45 编辑

Quote在和你的好友分享内容方面,短链接可能会很有用,但是研究者发现,它们也可能泄露你的私人信息

***附件停止解析***

研究者已经发现,来自云服务的短链接可以被黑客利用来定位私人资源,比如文件、医疗信息,甚至是驾车行驶方向。

来自康奈尔大学的研究者已经发布了相关的论文,证明了在云服务上使用短链接的严重隐私风险,比如微软的 OneDrive、Google 地图,等等。

短链接的主要问题就是它们包含的令牌,长度为 6~7 个字符,这足以让黑客猜到被分享的文件的真实地址。所以相关的网址可以被网络上的任何人获取,而不仅仅是进行分享行为的双方。

***附件停止解析***

更加糟糕的是,因为云服务经常在用户的电脑和云端进行同步,针对某个文件的短链接可以引导黑客找寻该用户的其他所有文件。研究者也认为,通过这种手段,黑客们也可以向目标文件中注入恶意程序。

在短链接上类似的漏洞被发现存在于微软的 OneDrive、Google Drive、Google 地图以及 Bing 地图中。

微软在 3 月份移除了 OneDrive 通过短链接进行分享的功能。但是,根据研究者的说法,这家公司否认了对该特性的移除,因为前者在此之前就出台了一份针对 OneDrive 的易损性报告,并在去年的 5 月把这个问题上报给了微软。

他们也在去年 9 月份提醒了 Google。在一周之后,Google 把短链接中令牌的长度增加到了 11~12 个字符,这让其变得更加难以破解。

***附件停止解析***

在地图应用上,研究者发现短链接会泄露分享者的地理位置以及行进方向。

正如之前另外一家媒体的报道,在研究 OneDrive 的短链接泄露情况时,研究者扫描了 1000 万条短链接,最终从 2 万短链接中找到了真实文件的地址。而另外一个针对 7 位令牌字符长度的 OneDrive 短链接功能测试中,大约有 10 万文档几乎处于暴露状态。

各位智友使用短链接的情况多吗?你们怎么看待短链接的安全问题?欢迎留言交流~

***链接停止解析***

相关新闻
***链接停止解析***

敬告:
为防止不可控的内容风险,本站已关闭新用户注册,新贴的发表及评论;
你现在看到的内容只是互联网用户曾经发表的言论快照,仅用于老用户留存纪念,且仅与科技行业相关,全部内容不代表本站观点及立场;
本站重新开放前已针对包括用户隐私、版权保护、信息安全、国家政策在内的各种互联网法律法规要求,执行了隐患内容的自查、屏蔽和删除;
本站目前所属个人主体,未有任何盈利安排与计划,且与原WFUN.COM所属公司不存在任何关联关系;
如果本帖内容或者相关资源侵犯到您的合法权益,或者您认为存在问题,那么请您务必点此举报或投诉!
全部回复:
xu297790350 UID.1045253
2016-04-17 回复

谷歌也有,怎么标题只提到微软?

mrzhjp UID.358158
2016-04-17 回复

那以后用长链接

AEA UID.998129
2016-04-17 回复

还好从不用OneDrive分享文件 ~ {:6_234:}

qwe2603300 UID.1151421
2016-04-17 回复

不是说微软的已经关闭了吗,而谷歌的还用着短链接

jimmy19990 UID.327382
2016-04-17 使用 Lumia 1520 回复

百度云那个也不是短链接吗?

夏王窦逗 UID.52878
2016-04-17 使用 Lumia 640 XL 回复

分享就这样

屋村住哪座 UID.286870
2016-04-19 使用 Lumia 830 回复

百度表示,你在暗示我?

本站使用Golang构建,点击此处申请开源鄂ICP备18029942号-4联系站长投诉/举报