雲端服務普及,不論個人用家還是企業用戶都可能會將重要檔案儲存到雲端服務中,以作備份 。如果你也有這個習慣,可能就要小心了。最新的駭客技術已經可以不獲取你的密碼就直接存取你儲存在雲端中的檔案。上週在 Las Vegas 舉行的 Black Hat 黑客大會中,Imperva 公司展示了一種名為 Man in the cloud 的攻擊,透過惡意軟件感染用戶裝置即可隨意存取雲端上的檔案,用戶甚至難以察覺。
Google,Dropbox,Microsoft 主流雲端服務齊齊中招
該技術有別於傳統依賴竊聽伺服器或用戶之間資料的 man in the middle 技術,Man in the cloud 利用了雲端同步技術中的一個設計漏洞達成攻擊,而這個漏洞存在於 Google,Box,Microsoft 和 Dropbox 等大型雲端服務中。
Imperva 報告亦指出,利用這種技術攻擊,即使用戶使用還原技術也未必能避免損失。這種技術攻擊會先將一個小型檔案植入用戶裝置,然後當每次用戶輸入密碼時便儲存數據,抓取密碼象徵,而當密碼象徵成功建立,透過網絡釣魚攻擊或利用漏洞,就可以用作欺騙新裝置認為駭客是該雲端帳號的擁有者。這樣駭客就可以隨意存取雲端上儲存的檔案,以及利用雲端同步的方式植入更多惡意軟件的連結了該帳號的裝置。
而最大的問題是,雖然大部分雲端服務均提供兩部驗證的驗證方法,或者是當有新裝置連結或異地連結帳號時便會 Email 通知帳號持有人這些安全保障,但很多用戶都會忽視這些通知或者完全不作安全驗證設定。
Source: ZDNet