华为云备份安全性与取证

huaweiCloud

除了iCloud,华为手机的云存储使用范围也是相当广的,与iCloud相比,安全性则要弱一些。(这里讨论的云存储,主要考虑移动终端自带,毕竟移动终端的信息更为隐私和重要,Dropbox、GoogleDrive、百度云之类不考虑。)

缺点:

1、没有两步验证。

华为云服务http://cloud.huawei.com/,没有两步验证,可以绑定手机,但是登陆时仅需要账号密码,在社工库盛行的今天,这种安全性未免太弱了些,毕竟都是短信、联系人、照片之类的,谁知道会不会再出个类似iCloud艳照门的事情呢?

2、不记录登陆信息。

历史登陆时间、登陆IP等信息完全不记录,更不要说异常登陆提醒了,作为用户量超大的服务提供商,说不过去。

huaweiucloud

3、敏感信息明文存储。

豌豆荚截图20160103152707

通过华为云服务同步的联系人、通话记录、备忘录、相册等(除备份之外的所有)敏感内容均明文存储,只要拿到华为账号密码就可以下载,当然,这些同步信息本来就是应该明文存储的,所以也可以归咎为第一点,登陆验证太弱。

 

优点:

豌豆荚截图20160103152015

1、加密备份。

华为手机自带备份功能,提供“使用密码保护备份数据”功能,可以备份到华为网盘,通过这种方式备份的,就算拿到华为云服务账号密码,恢复备份还需要单独密码,如果密码强度较高(8位以上数字+字母),安全性非常高,这也是唯一推荐使用的华为云服务。

 

下面谈谈如何取证:

1、拿到手机,连接电脑之类常规取证略过。

2、无法连接电脑,或者有锁屏密码(破解方法,可以尝试安卓系统信任文件(公钥) 和 伪造指纹破解手机指纹认证

取SD卡中备份文件,如果存在未加密备份,直接解析。如果本地备份加密了,查看备份文件中info.xml中BackupFilesTypeInfo的checkMsg项,sha256解密。

jiamibeifen

3、如果拿到华为账号。

登陆http://cloud.huawei.com/,发现明文内容,直接用华为云服务APP同步,或者直接WEB端下载。

4、登陆华为网盘,下载录音和备忘录。

华为网盘

5、cookies。

屏幕快照 2016-01-04 下午3.38.20

登陆状态备份cookies,在未主动注销的情况下token一直有效,复用可以直接登陆。

6、意外发现。

huaweiwp

网盘客户端访问WEB网站,生成临时URL形如

http://login.dbank.com/login.php?ss=PM3TW94BgA8PTP6X43DicrTA83atorlHza0tpeLyXK5oglogFxxxxxxxxx&fmt=redirect&appid=48049&ru=http%3A%2F%2Fwww.dbank.com%2Fnetdisk%2Findex.html%23%2F%25E7%25BD%2591%25E7%259B%2598%25E6%2596%2587%25E4%25BB%25B6&ts=145179xxxx&key=2AD9A6C834ADD2BCE3305xxxxxxxxx

类似token,暂时不知道有没有时间限制,目前可以持续打开网盘WEB网站。