黑客利用移动浏览器漏洞窃取云计算资源

北卡罗莱纳州立大学和俄勒冈大学的的安全研究人员发现,一种基于MapReduce的新型技术可以让黑客劫持基于云计算的移动浏览器所使用的计算资源。

云浏览使用外部计算能力来处理网页,并交付给终端用户。研究人员表示,这项技术对移动浏览来说非常有用,否则必须依靠移动设备不太强大的硬件。目前,Opera Mini和Android Silk是使用该技术的最知名的浏览器。

然而,云可以用来完成繁重的任务,也可以被欺骗做许多其他的事情,研究人员根据这个问题发表了一篇论文。

测试

研究小组测试通过简写URL网站上存储的数据块,有效地欺骗了这些网站和云浏览器提供商,为他们进行运算。北卡罗莱纳州立大学助理教授William Enck(该论文的参与者)在一份声明中表示,该小组把以这种方式处理的数据量限制为100MB。

他表示:“这个数据量可以更大,但我们不想为我们使用的免费服务造成一个不必要的负担。”

Enck补充道,这项技术可以为黑客提供巨大的、暂时的、完全匿名的计算能力,使他们能够以极快的速度破解密码或执行其他恶意任务。

他表示,根据攻击的规模,用户可能不会注意到正在发生的事。

Enck说:“预防攻击事件发生取决于配置良好的云浏览器平台,以及攻击者正在执行的任务量。云浏览器运行商在监控资源使用时肯定会注意到一个服务使用的高峰。然而,要对此做出反应要求供应商在他们的框架中构建更多的防御措施。”