HTTPS連接通常可以為用戶(hù)帶來(lái)一定程度的私密性和安全性,但是據(jù)透露,當(dāng)用戶(hù)使用HTTPS連接到他們的微軟用戶(hù)帳戶(hù)頁(yè)面Outlook.com或者OneDrive.com的時(shí)候,連接泄漏了唯一標(biāo)識(shí),可用于檢索用戶(hù)姓名和個(gè)人資料照片明文。
該漏洞最早發(fā)現(xiàn)由北京一位博主發(fā)現(xiàn),然后由Ars Technica測(cè)試確認(rèn)。他們表示,捕獲連接Outlook.com 或者OneDrive.com Windows帳戶(hù)頁(yè)面的數(shù)據(jù)包,可以顯示主機(jī)對(duì)DNS查詢(xún)請(qǐng)求,格式為cid- [用戶(hù)的CID] .users.storage.live.com。測(cè)試還發(fā)現(xiàn),用于確保服務(wù)進(jìn)程安全的傳輸層安全交換(SNI)的擴(kuò)展數(shù)據(jù)當(dāng)中也包含了用戶(hù)的CID信息。
總之,這意味著,該CID可用于檢索用戶(hù)的頭像,并且也可以經(jīng)由OneDrive站點(diǎn)用于檢索用戶(hù)的帳戶(hù)顯示名稱(chēng)。通過(guò)從微軟的Live服務(wù)與CID訪問(wèn)元數(shù)據(jù),別人也可以檢索有關(guān)賬戶(hù)上次訪問(wèn)和創(chuàng)建時(shí)間信息。相同的元數(shù)據(jù)可以曝光與Live日歷應(yīng)用程序相關(guān)信息,包括用戶(hù)位置信息。
這類(lèi)漏洞可能允許其他人使用CID作為一個(gè)跟蹤器,即使在用戶(hù)使用Tor網(wǎng)絡(luò)連接。從相同的IP地址的其它流量來(lái)關(guān)聯(lián)對(duì)象身份。盡管Tor等匿名網(wǎng)絡(luò)可以掩蓋來(lái)源點(diǎn),但是一旦對(duì)方脫離Tor出口節(jié)點(diǎn),CID信息可以識(shí)別對(duì)方身份。
微軟發(fā)言人告訴Ars Technica,該公司已經(jīng)意識(shí)到這個(gè)問(wèn)題,并準(zhǔn)備進(jìn)行修正。
京公網(wǎng)安備 11010502049343號(hào)