欧界报道:
随着5G的发展,云业务行业也开始热起来,云业务的用户信息更是全行业关注的焦点。而昨天,就在小米 IoT 安全峰会上,腾讯安全玄武实验室负责人却透露,腾讯已经向国家信息安全漏洞共享平台提交了一个重大漏洞“BucketShock”,所有云存储应用中可能超过 70% 存在该问题。
在上个月月底,漏洞共享平台收录了这个漏洞,云储存应用越级访问文件和上传,攻击者利用这个漏洞就能在越权的情况下,直接远程读取、修改云储存中的内容。不需要用户的许可就能直接访问信息。
不过现在,腾讯方面并没有公布更多的关于漏洞的消息,因为漏洞的影响范围和危害过于大,覆盖面积也很广。开发者对于云业务的技术性的理解问题导致了该问题的出现,从而制造除了漏洞,利用这个问题将可读所有云储存用户的所有数据。
国家信息安全漏洞共享平台也在最近公布了关于这个漏洞的公告。云储存本来是基于云计算的基础衍生出的新的服务,利用分布、并行处理和一些网络计算手段,协调不同的储存设备进行协同工作,并且对外提供统一的储存和访问功能。利用临时密码和永久密码两种方式获得权限。
而腾讯方面的研究则发现了现在的云储存应用中的问题,存在着越权访问和上传文件的漏洞,使用临时密码上传文件时,缺乏对文件访问或上传路径的权限限制,导致文件越权访问或文件上传漏洞;使用永久密钥为文件上传请求签名的云存储应用,缺乏对永久密钥的必要保护,产生任意路径文件的越权访问和文件上传漏洞。攻击者利用上述漏洞,通过云存储应用破解或网络抓包获得永久密钥或临时密钥,实现对云存储中的文件数据的窃取,甚至篡改用户保存在云存储中的数据文件。该漏洞的评级已经达到了高危。
腾讯对市面上的4000多个云服务软件进行了测试,发现受到这个漏洞影响的应用已经达到了70%之多,平台也已经对这些云服务厂商进行了通报。
对于服务上来说,用户的信息安全才是最重要的,更需要及时的对漏洞进行排查,并且告知用户对自己的文件进行自查,必要的时候还要提供恢复等技术支持。这也给云服务行业敲了一记警钟,用户的隐私安全问题是全行业所关注的,幸好腾讯及时发现了漏洞并公布,不然后果不堪设想。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
