HTTPS漏洞泄漏微軟賬戶個人信息

責(zé)任編輯:editor006

2015-10-06 21:59:01

摘自:cnBeta.COM

該漏洞最早發(fā)現(xiàn)由北京一位博主發(fā)現(xiàn),然后由Ars Technica測試確認(rèn)。測試還發(fā)現(xiàn),用于確保服務(wù)進(jìn)程安全的傳輸層安全交換(SNI)的擴(kuò)展數(shù)據(jù)當(dāng)中也包含了用戶的CID信息。

HTTPS連接通??梢詾橛脩魩硪欢ǔ潭鹊乃矫苄院桶踩裕菗?jù)透露,當(dāng)用戶使用HTTPS連接到他們的微軟用戶帳戶頁面Outlook.com或者OneDrive.com的時候,連接泄漏了唯一標(biāo)識,可用于檢索用戶姓名和個人資料照片明文。

該漏洞最早發(fā)現(xiàn)由北京一位博主發(fā)現(xiàn),然后由Ars Technica測試確認(rèn)。他們表示,捕獲連接Outlook.com 或者OneDrive.com Windows帳戶頁面的數(shù)據(jù)包,可以顯示主機對DNS查詢請求,格式為cid- [用戶的CID] .users.storage.live.com。測試還發(fā)現(xiàn),用于確保服務(wù)進(jìn)程安全的傳輸層安全交換(SNI)的擴(kuò)展數(shù)據(jù)當(dāng)中也包含了用戶的CID信息。

總之,這意味著,該CID可用于檢索用戶的頭像,并且也可以經(jīng)由OneDrive站點用于檢索用戶的帳戶顯示名稱。通過從微軟的Live服務(wù)與CID訪問元數(shù)據(jù),別人也可以檢索有關(guān)賬戶上次訪問和創(chuàng)建時間信息。相同的元數(shù)據(jù)可以曝光與Live日歷應(yīng)用程序相關(guān)信息,包括用戶位置信息。

這類漏洞可能允許其他人使用CID作為一個跟蹤器,即使在用戶使用Tor網(wǎng)絡(luò)連接。從相同的IP地址的其它流量來關(guān)聯(lián)對象身份。盡管Tor等匿名網(wǎng)絡(luò)可以掩蓋來源點,但是一旦對方脫離Tor出口節(jié)點,CID信息可以識別對方身份。

微軟發(fā)言人告訴Ars Technica,該公司已經(jīng)意識到這個問題,并準(zhǔn)備進(jìn)行修正。

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號