隨著互聯網發展應用日益廣泛，很多市民喜歡使用雲端存儲軟件和網站來存儲個人文件、視頻和照片，用戶在使用雲盤上傳文件時，會出現“正在為你加密傳輸”的提示。但近日西安郵電大學密碼技術實驗室研究小組發現，百度雲盤、華為網盤、360雲盤等國內多款雲盤存在重大安全隱患，使用抓包軟件（攔截查看網絡數據包內容的軟件）抓取數據包的結果顯示上傳的還是明文，文件實際並未真正加密。

　　

　　>

　　>

　　實驗證實

　　抓取雲盤上傳數據包，發現並未加密可隨意查看、刪改

　　3月31日，西安郵電大學密碼技術實驗室研究小組向華商報記者演示實驗過程。研究小組成員利用目前廣為使用的普通網絡抓包軟件Fiddler與Wireshark，對上傳的數據包進行抓取。結果顯示，當用戶使用百度雲盤進行數據上傳和下載時，百度雲盤客戶端和服務器之間的通信是以傳統的HTTP協議進行的，而HTTP協議傳輸的數據是沒有經過任何加密處理的明文，在抓取頁面中可以查看到該成員剛剛上傳的文件、圖片，並可以隨意查看、修改、刪除用戶在網盤內的文件。

　　西安郵電大學密碼技術實驗室任方博士介紹，攻擊者可以輕易通過對傳輸的數據進行簡單的網絡抓包以竊取用戶的明文數據，如果信息加密，即使用https協議進行加密，在抓取時看到的是代碼，而不是文件本身，“這說明上傳數據根本沒有進行加密，可見百度雲盤‘正在為你加密傳輸’的提示帶有欺騙性。”

　　網盤文件並未加密，用戶信息還安全嗎？任方博士介紹，黑客能夠對百度雲盤發起“重放攻擊”。只需利用已經竊取到的用戶歷史訪問數據，適當修改文件屬性，就可以對用戶的其他數據進行讀取與刪除操作。

　　>

　　>

　　涉及企業

　　百度稱將不斷改進產品 華為堅稱已加密存儲

　　據IT業數據統計權威機構Big Data於2016年1月公布的數據，百度雲盤月活躍用戶為3834.2萬人，以絕對優勢排名第一，所占比例超過50%；華為網盤月活躍用戶1402.1萬人，排名第二位；360雲盤排第三，月活躍用戶674.8萬人。華商報記者查詢各家網盤、雲盤網站發現，他們均在隱私保護中承諾對用戶文件使用加密存儲。

　　西安郵電大學密碼技術實驗室研究小組對其他同類產品也進行了安全性分析，結果顯示，國內主流雲盤都沒有對用戶的數據進行加密保護，其中華為網盤與百度雲盤的問題同樣嚴重。

　　針對西郵密碼技術實驗室的研究結論，華商報記者昨日分別致函百度、華為和奇虎360三家企業。

　　昨日下午，百度方面有關人士回復說，針對研究機構指出的漏洞，目前他們沒有接到用戶關於存儲數據沒有被加密保護、或被刪除數據等安全隱患的投訴。“互聯網技術是不斷更新的，沒有技術能做到百分百安全，我們會不斷改進產品。”

　　華為方面回復稱，華為網盤業務從去年年中開始做全站HTTPS轉換，目前已完成96.7%，剩余部分將在兩個月內完成，所有用戶數據均為加密存儲，即使硬盤拿出機房，也無法解析其中的數據。同時，網盤系統有超時自動退出機制，不存在黑客根據用戶歷史訪問信息，刪除用戶數據的問題。

點擊: 0 | 評論: 3 | 分類: 上傳 | 論壇: 電子電玩 | 論壇帖子