資安公司Imperva在黑帽駭客大會上展示云端中間人攻擊手法，讓駭客不用破解密碼、不用攻擊程式，也不用撰寫伺服器端的程式碼，即可存取用戶Google Drive、Box、微軟及Dropbox上的檔案，達成竊取資料或進行其他攻擊的目的。

[[146584]]

Imperva在其報告中詳細解釋，「云端中間人」(man-in-the-cloud, MIIC)攻擊是利用云端儲存服務的檔案同步化機制。檔案同步化的原理是利用同步化軟體與儲存在裝置上的同步化權杖(synchronization token)完成使用者身份驗證，使本機同步資料匣(sync folder)中的檔案變更或新增可同步到同一使用者的云端服務上，反之亦然。

在實驗中，研究人員設計了名為「切換器」(Switcher)的工具，只要透過網(wǎng)釣或掛馬攻擊植入使用者電腦，取得裝置上的同步權杖，就可以冒充是云端服務帳號持有人。然后，經(jīng)由用步化機制，即可將用戶電腦的檔案傳到攻擊者設立的云端服務帳號，如此一來，不必破解密碼，也能取得用戶云端檔案。

攻擊者也可在云端資料匣中植入木馬或勒贖軟體，將云端平臺當作C&C平臺進行其他攻擊。攻擊者甚至能在檔案中嵌入惡意程式碼，等完成任務后，再把原本干凈的檔案回復到用戶電腦，不留痕跡。更糟的是，由于權杖和裝置(而非使用者帳密)綁在一起的，因此，受害者即使修改帳號密碼也防堵不了攻擊者。

Imperva設計的工具只修改了用戶電腦的特定檔案或登錄機碼(registry key)，因此很難被偵測到。而且事后駭客也可以將Switcher從使用者終端移除，神不知鬼不覺。

研究人員指出，企業(yè)與個人利用Google Drive、Dropbox等云端服務進行檔案同步愈來愈普及，但同步服務設計反而使其變成駭客理想的攻擊平臺，只要開個帳號，連C&C伺服器都不必架。在企業(yè)和個人使用云端服務成為常態(tài)的今天，有必要更注意云端的安全。

云端服務成為駭客攻擊管道顯然不再只是理論而已。七月底FireEye發(fā)現(xiàn)一只名為Hammertoss的后門程式，可利用Twitter和GitHub等合法網(wǎng)站作為掩護，以躲避偵測，暗中竊取用戶資料。五月時中國駭客組織也被發(fā)現(xiàn)利用微軟TechNet網(wǎng)站隱藏遠端控制受害電腦的C&C通訊，以竊取資料或修改、刪除檔案。