据国外媒体报道,近期发表的一篇研究论文称,SaaS(软件即服务,Software-as-a-service)交付应用程序可能会导致数据的泄露。
这份由微软研究院和印第安纳大学学者发表的论文,提供了SaaS交付应用程序的操作细节及其如何通过网络导致“侧通道”泄露,并可能引发严重的安全隐患的过程:即使在SaaS加密的情况下,攻击者也可能获取到最敏感的数据。
论文中称:“明确地说,我们发现许多非常详细而又敏感的信息正在通过医疗保健、税收、投资及网络搜索等备受关注的网络应用程序泄露出去。”
研究者表示,这种泄露情况并不是发生在每个SaaS应用程序中,但其中一些泄露情况很严重。但SaaS应用程序这种网络化行为意味着即使在严格加密的环境下也会存在侧通道漏洞。
论文中称,“网络应用程序在浏览器和服务器之间被分开,所以其内部的状态转换和数据交换都不可避免地经过网络。即使加密,一些基本的网络应用程序的特征,比如缓慢的无序输出,有状态的通信以及重要的通信特性,都可以导致侧通道泄露真实隐私的信息。”
由于不同应用软件的弱点不同,SaaS供应商和用户将必须分别学习每个应用程序的使用。研究者表示:“开发商首先要找到每个应用程序的弱点,然后采取相应的措施。这些努力需要对网络应用程序语言学,信息流和网络通信模式进行分析。”
