Теперь результаты группы, возглавляемой Цзяньин Чжоу из Института исследований инфокоммуникаций A * STAR в Сингапуре, обещают повысить безопасность популярных онлайн-сервисов и лучше защитить пользователей, выявив скрытые недостатки, связанные с важной функцией облачного хранилища — возможностью делиться файлами с друзьями, коллегами или публикой1.Совместное использование контента — это привлекательный способ, позволяющий удаленным коллегам просматривать проекты и совместно работать над ними без использования вложений электронной почты, которые часто имеют строгие ограничения на размер файла.
Совместное использование данных может быть: публичным, без контроля доступа; частный, в котором поставщик облачных услуг аутентифицирует совместное использование с помощью элементов управления входом; или совместное использование «секретного» универсального указателя ресурсов (URL), при котором люди, не имеющие учетной записи в облачной службе, могут получить доступ к данным, перейдя по определенной веб-ссылке.Исследователи под руководством A * STAR проанализировали безопасность трех известных поставщиков облачных услуг — Dropbox, Google Drive и Microsoft SkyDrive — и обнаружили, что все три имеют уязвимости, с которыми могут столкнуться многие пользователи. Они обнаружили несколько рисков, связанных с совместным использованием секретных URL-адресов.
Поскольку URL-адреса сохраняются на различных сетевых серверах, в истории браузеров и в интернет-закладках, третьи стороны часто могут получить доступ к личным данным. Кроме того, получатель URL-адреса может отправлять ссылку другим лицам без согласия владельца данных.Другая опасность заключается в практике сокращения URL-адресов — сокращения длинных веб-адресов до коротких буквенно-цифровых последовательностей для облегчения обмена на мобильных устройствах. Хотя исходный URL-адрес может указывать на файл с частным доступом, сокращение превращает этот адрес в обычный текст, не защищенный шифрованием.
Чжоу также отмечает, что, поскольку короткие URL-адреса имеют очень ограниченную длину, они уязвимы для атак грубой силы, которые могут раскопать якобы секретные файлы.Чжоу объясняет, что основная причина проблем с безопасностью облака заключается в необходимости сбалансировать удобство использования с защитой конфиденциальности. «Пользователи должны быть осторожны, когда они обмениваются файлами в облаке, потому что ни одна система не является полностью защищенной.
Тем временем облачная индустрия должна постоянно поднимать планку против новых атак, сохраняя при этом функциональность сервиса, насколько это возможно».