Outlook と OneDrive が一意のユーザー アカウント ID を平文で漏洩していることを研究者が発見
Microsoft の OneDrive と Outlook.com は、一意のユーザー ID を平文で漏洩しています。ラーメンヒーローという名前で活動する開発者は、Outlook.com、OneDrive、Microsoft のアカウント ページの両方で、URL に CID として知られる一意のユーザー識別子が組み込まれていると述べました。 CID は、各 Microsoft アカウントに関連付けられた 64 ビット整数 (通常は符号なし 16 進数形式でフォーマットされる) であり、ユーザー識別のために Microsoft API で使用されます。
ラーメンヒーローは、「迷惑な Microsoft ユーザー」という適切な名前の記事を投稿し、Microsoft がどのようにしてこの CID を必要とする人に平文で漏洩しているかを詳しく説明しました。
これの何が問題なのでしょうか? CID によってアカウント所有者についてかなりのことが明らかになることが判明しました。たとえば、アカウントの CID が 039827D56AE85E00 で、Alice がそれを知っている場合、彼女は次のようにすることができます。
- アカウントの写真をダウンロードします(そしてそれを使って悪いことをします)。
- OneDrive.com では自分の表示名 (そしておそらく本名) が「Johnny Fellows」であることを知ってください (そしてあなたとあなたの家族をサイバーストーキングします)。そして
- このアカウントは 2013 年 12 月 2 日に作成され、現在も使用されています。
以前は、OneDrive.com は単に誰かのプロフィール写真と表示名を表示するだけでした。今では、ユーザー インターフェイスが変更され、見つけるのが少し難しくなりました。 (ただし、古い UI も引き続き使用できます。)
公開できる情報はこれだけではありません。実際、一部のレガシー アプリの設定は公開されています。たとえば、カレンダー アプリに天気予報を表示させると、アリスは選択した場所と温度の単位を学習できるようになります。
Microsoft が CID を平文で漏洩すると、悪意のある攻撃者が同社のサービスをユーザーに接続し、ユーザーのアカウントの写真を取得し、アカウントに付けられた表示名を表示し、アカウントの作成時の情報にアクセスすることが可能になる可能性があります。さらに、カレンダーなどの一部の従来のアプリの設定は公開されているため、潜在的なハッカーもユーザーの位置を知ることができます。
別の開発者である vbezhenar 氏によると、DNS ルックアップが行われていない場合でも、CID は盗聴者に見えるようです。 CID は、ホスト名の一部として、Server Name Indication (SNI) として知られるプロセスの TLS ハンドシェイク中にクリア テキストで送信されます。
HTTPS プロキシ サーバーを使用すると、Web トラフィック ログにアクセスできるすべてのユーザーにホスト名が表示されます。これは、たとえば、プロキシ サーバーを使用して Web コンテンツをフィルタリングする学校や図書館に当てはまります。
さらに、OneDrive でファイルを共有すると、CID を含む URL を取得します。 (OneDrive 上のファイルは、CID とシーケンス番号によって識別されます。) したがって、この URL を他の人と共有する前に、よく考えてください。
さらにあります。 Microsoft アカウントを Skype アカウントにリンクしている場合は、Microsoft アカウントのメイン エイリアスを知っている人なら誰でも、People アプリを使用して CID を取得できます。
Microsoftはこの問題についてまだコメントしていない。
