国内多款云盘未加密 建议勿将私密文件上传云端

01.04.2016  09:39

  国内多款云盘存在安全隐患 上传文件并未真正加密

  随着互联网发展应用日益广泛,很多市民喜欢使用云端存储软件和网站来存储个人文件、视频和照片,用户在使用云盘上传文件时,会出现“正在为你加密传输”的提示。但近日西安邮电大学密码技术实验室研究小组发现,百度云盘、华为网盘、360云盘等国内多款云盘存在重大安全隐患,使用抓包软件(拦截查看网络数据包内容的软件)抓取数据包的结果显示上传的还是明文,文件实际并未真正加密。

   >>实验证实

  抓取云盘上传数据包,发现并未加密可随意查看、删改

  3月31日,西安邮电大学密码技术实验室研究小组向华商报记者演示实验过程。研究小组成员利用目前广为使用的普通网络抓包软件Fiddler与Wireshark,对上传的数据包进行抓取。结果显示,当用户使用百度云盘进行数据上传和下载时,百度云盘客户端和服务器之间的通信是以传统的HTTP协议进行的,而HTTP协议传输的数据是没有经过任何加密处理的明文,在抓取页面中可以查看到该成员刚刚上传的文件、图片,并可以随意查看、修改、删除用户在网盘内的文件。

  西安邮电大学密码技术实验室任方博士介绍,攻击者可以轻易通过对传输的数据进行简单的网络抓包以窃取用户的明文数据,如果信息加密,即使用https协议进行加密,在抓取时看到的是代码,而不是文件本身,“这说明上传数据根本没有进行加密,可见百度云盘‘正在为你加密传输’的提示带有欺骗性。

  网盘文件并未加密,用户信息还安全吗?任方博士介绍,黑客能够对百度云盘发起“重放攻击”。只需利用已经窃取到的用户历史访问数据,适当修改文件属性,就可以对用户的其他数据进行读取与删除操作。

   >>涉及企业

  百度称将不断改进产品 华为坚称已加密存储

  据IT业数据统计权威机构Big Data于2016年1月公布的数据,百度云盘月活跃用户为3834.2万人,以绝对优势排名第一,所占比例超过50%;华为网盘月活跃用户1402.1万人,排名第二位;360云盘排第三,月活跃用户674.8万人。华商报记者查询各家网盘、云盘网站发现,他们均在隐私保护中承诺对用户文件使用加密存储。

  西安邮电大学密码技术实验室研究小组对其他同类产品也进行了安全性分析,结果显示,国内主流云盘都没有对用户的数据进行加密保护,其中华为网盘与百度云盘的问题同样严重。

  针对西邮密码技术实验室的研究结论,华商报记者昨日分别致函百度、华为和奇虎360三家企业。

  昨日下午,百度方面有关人士回复说,针对研究机构指出的漏洞,目前他们没有接到用户关于存储数据没有被加密保护、或被删除数据等安全隐患的投诉。“互联网技术是不断更新的,没有技术能做到百分百安全,我们会不断改进产品。

  华为方面回复称,华为网盘业务从去年年中开始做全站HTTPS转换,目前已完成96.7%,剩余部分将在两个月内完成,所有用户数据均为加密存储,即使硬盘拿出机房,也无法解析其中的数据。同时,网盘系统有超时自动退出机制,不存在黑客根据用户历史访问信息,删除用户数据的问题。

  记者昨日致电360网盘,客服人员表示,需要将问题反馈至客服邮箱,再经由技术人员在24小时内给出回复,截至昨日发稿时,已去信6个小时尚未得到回复。

   >>专家建议

  尽量勿将私密文件上传云端

  西安邮电大学密码技术实验室研究小组任方博士建议,相关研究机构和企业应高度重视此类信息安全问题,积极寻求解决方案,为广大用户提供安全的云存储服务。

  “网盘的信息安全是一个复杂的问题,一方面大家在享受数据分享带来的好处,一方面却面临着严重的安全威胁,”任方博士建议,广大用户必须提高安全防护意识,云盘或者网盘可以作为非保密信息(如影视、公开资料等)的共享渠道,但是尽量不要把私密的文件上传至云端,如果不得不上传,最好是短期存储。