当加密压缩包遇上云端扫描

你可能习惯用密码保护压缩文件，觉得这样就能确保隐私和安全。但最近有安全研究人员发现，微软的云服务似乎能“看穿”某些受密码保护的zip文件，并扫描其中是否藏有恶意软件。这引发了关于云端隐私边界与安全防护之间如何平衡的讨论。我的理解是，这件事的核心在于，云服务商在多大程度上可以为了安全而检查用户加密存储的内容。

事件起因：被标记的“受感染”压缩包

事情最初由几位用户在社交平台上报告。安全研究员安德鲁·布兰特（Andrew Brandt）提到，他习惯将恶意软件样本放入一个密码为“infected”的压缩包中，通过微软的SharePoint与同事交换，用于分析研究。长期以来，这种方式都没有问题。但就在最近，SharePoint开始标记这些受密码保护的文件为恶意软件。这让他感到意外，因为安全研究社区常用这种方式安全地传递样本。

另一位研究员凯文·博蒙特（Kevin Beaumont）补充说，微软有多种方法尝试扫描这类文件。例如，系统可能会尝试从邮件正文或文件名中提取可能的密码，或者用一个常见的密码列表进行测试。他举了个例子：如果你在邮件里写了“ZIP密码是Soph0s”，然后压缩文件时恰好用了这个密码，系统就有可能找到密码并打开文件进行检查。

微软的做法与潜在影响

根据讨论，微软似乎在其整个365云服务套件（包括OneDrive、SharePoint等）中实施这种扫描。布兰特还分享了另一个相关经历：去年，他发现OneDrive在备份他电脑本地文件夹中的恶意文件后，不仅将这些文件在云端检测为恶意软件，甚至还从他本地硬盘中清除了它们。这导致他“失去了整群人”的文件。

这种做法直接影响了像布兰特这样的恶意软件研究人员的工作流程。正如他所写，这种“多管闲事、深入了解你的业务的处理方式……将成为一个大问题”。他认为，这挤压了研究人员安全交换样本的可用空间。目前，微软方面在收到媒体询问后，并未对此做法做出详细回应。

其他服务商的策略与加密的局限性

作为对比，谷歌的代表表示，他们不会扫描受密码保护的zip文件内容。不过，Gmail会在用户收到此类文件时进行标记，而由Google Workspace管理的工作账户甚至可能阻止用户发送受密码保护的压缩包。

这一事件也提醒我们，受密码保护的zip文件提供的安全保障其实很有限。博蒙特指出，Windows系统默认的ZipCrypto加密方式“很容易被攻破”。如果希望更可靠地保护压缩包内的内容，可以考虑使用支持AES-256加密的格式（例如7z文件），这内置于许多现代压缩软件中。

安全与隐私的平衡难题

这一做法生动说明了在线服务面临的两难境地：如何在主动保护用户免受恶意软件侵害的同时，尊重用户的隐私和文件自主权。从积极的一面看，主动检查很可能阻止了大量通过社交工程传播的恶意软件，保护了普通用户。但从另一面看，对于需要处理敏感或特殊文件（如安全研究样本）的用户来说，这种未经明确同意的深度检查会带来困扰和实际的工作障碍。

最终，这或许不是一个简单的是非题。它促使我们思考，在依赖云端服务的今天，我们对文件隐私的实际控制力究竟有多少，以及不同身份的用户对“安全”的期待可能存在哪些差异。