用 HTTPS 也無效,駭客可偷 Outlook、OneDrive 用戶名字和頭像

作者 | 發布日期 2015 年 10 月 07 日 11:55 | 分類 Microsoft , 網路 , 資訊安全 line share follow us in feedly line share
用 HTTPS 也無效,駭客可偷 Outlook、OneDrive 用戶名字和頭像


為了保護使用者連線安全,建立連線時使用 HTTPS 是必然之選,但即使用了 HTTPS 也不是無憂無慮。最近發現即使用戶透過 HTTPS 連線至 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 時,仍會洩漏用戶的唯一標式符(unique identifier),其他人可從中獲得姓名和個人頭像。

用 CID 偷取用戶名稱和個人頭像

雖然有使用 HTTPS,但唯一標式符,即 CID 仍然會外洩。原因是 CID 是以 DNS lookup 的一部份傳送,DNS lookup 會尋找儲存了個人資料的伺服器地址,CID 也是加密連線初始化的一部份,所以,當用戶透過電腦或行動裝置連接服務時,CID 就可以追蹤用戶個人資料。

外國媒體 Ars Technica 做了一次實驗,證實了這個方法。從與 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 連線截獲的封包(packet)中,可以看到 DNS lookup 請求是以 cid-[用戶的 CID ].users.storage.live.com 呈現。在 TSL 進行「交握」(handshake)交換資料時,CID 也會在 Server Name Indication(SNI)中顯示。

unwire.pro 配圖

CID 可以獲得用戶的個人頭像;透過 OneDrive 也可以獲得用戶的展示名稱。如果人們以 CID 讀取於 Microsoft Live 服務的元數據(Metadata),也可以得到帳戶的建立和最後登入日期,相同的元數據也可以洩露 Live Calendar 的資料。微軟指他們已經知道這件事,並準備回應。

(本文由 Unwire Pro 授權轉載)