Блогер из Пекина, известный как ramen-hero, нашел интересный нюанс в работе онлайновых сервисов Microsoft, таких как Outlook.com и OneDrive.com. Хотя сервисы используют HTTPS, уникальный идентификатор любого пользователя можно заполучить без особых проблем.

Используя в качестве трибуны блог под названием Annoyed Microsoft User (Злой пользователь Microsoft), исследователь рассказал, что проблема заключается в уникальных идентификаторах CID. Каждому пользователю сервисов компании присваивается 64-битный числовой ID (вида 039827D56AE85E00), который API Microsoft используют для идентификации пользователя и ассоциации с аккаунтом. Проблема в том, что сервисы технологического гиганта отдают CID в виде обычного текста  в URL.

P0

При работе с Outlook.com, OneDrive или при посещении страницы аккаунта  Microsoft (даже через HTTPS), CID отображается прямо в адресе URL. Это означает, что перехватить его может любой, кто имеет доступ к DNS-трафику, трафику пользователя или может перехватить TLS handshake. Если жертва использует Tor, CID виден на выходном узле. Если жертва использует прокси, CID обнаружит любой, у кого есть доступ к логам веб-трафика.

Зная CID пользователя, атакующий может узнать дату создания аккаунта Microsoft, ФИО владельца и увидеть его фото. Кроме того, настройки некоторых приложений (таких как «Календарь») доступны публично, а это означает, что хакер может вычислить и местонахождение жертвы. Трафик пользователей, связавших Skype с аккаунтом Microsoft, даже не нужно прослушивать. Достаточно знать имя аккаунта Microsoft, и CID можно получить через приложение People.

В заключение исследователь признает, что возможно его паранойя чересчур сильна, а уязвимость, на самом деле, пустяковая. Ramen-hero призвал всех тех, кого не устраивает подобное положение вещей, писать в Microsoft. Ведь компания с легкостью может исправить данную проблему и перестать демонстрировать ID своих пользователей всему интернету.

Фото: Ben Franske 

2 комментария

  1. userpak

    08.10.2015 at 17:32

    Очень круто… Дайте почтовый индекс журнала Хакер. А то на моей родной почте с бд проблемы. А может и с оператором (:

Оставить мнение