連HTTPS都有漏洞,互聯(lián)網(wǎng)這么不安全?
責(zé)編:admin |2014-10-28 12:12:10嗯…說是嘉年華,其實(shí)就是一場智能設(shè)備破解Show。對(duì)于虎嗅君這樣不搞技術(shù)的媒體同學(xué),也就只能當(dāng)一場Show看了。對(duì)于真正的安全極客們來說,GeekPwn(極棒)是一場智能設(shè)備破解挑戰(zhàn)賽。當(dāng)虎嗅君正在觀看智能硬件破解Show的時(shí)候,來自世界各地的頂尖極客們正在Pwn(破解)掉手中的智能設(shè)備。
作為最為普及的智能設(shè)備,智能手機(jī)是極客們的首要目標(biāo)。先是曾經(jīng)三獲世界頂級(jí)黑客賽事Pwn2Own冠軍的Keen Team利用芯片級(jí)的高危漏洞設(shè)計(jì)的App,實(shí)現(xiàn)了在Android手機(jī)關(guān)機(jī)的情況下通過麥克風(fēng)和攝像頭竊聽監(jiān)視手機(jī)用戶,隨后世界頂尖iOS越獄團(tuán)隊(duì)盤古團(tuán)隊(duì)全球第一個(gè)實(shí)現(xiàn)了iOS8的越獄。而今年最火的特斯拉智能電動(dòng)汽車也成為極客們的目標(biāo)。利用Keen Team和V2S團(tuán)隊(duì)發(fā)現(xiàn)安全漏洞,即使是普通人也可以通過瀏覽器遠(yuǎn)程操控特斯拉智能電動(dòng)汽車。
最令虎嗅君吃驚的是,來自清華大學(xué)的段海新教授發(fā)現(xiàn)了HTTPS(超文本傳輸安全協(xié)議)設(shè)計(jì)上的漏洞。段海新教授演示了三種利用這一漏洞的方法:第一種,在Gmail中偽裝Gtalk好友。攻擊者可以偽裝成用戶的Gtalk好友給用戶發(fā)送借款信息。第二種,在中國銀聯(lián)中竊取用戶綁定的銀行卡。當(dāng)用戶在自己的銀聯(lián)賬號(hào)里綁定銀行卡時(shí),攻擊者可以讓用戶要綁定的銀行卡綁定到攻擊者的銀聯(lián)賬號(hào)里,而用戶完成銀行卡綁定操作后,用戶的銀聯(lián)賬號(hào)里并沒有綁定的銀行卡。第三種,在支付寶中竊取用戶網(wǎng)購時(shí)的付款。當(dāng)用戶在網(wǎng)上購物后付款時(shí),攻擊者可以讓用戶的付款轉(zhuǎn)移到攻擊者的支付寶賬號(hào)中,而用戶完成付款操作后,網(wǎng)上購物的付款并沒有成功。
這三種方法的實(shí)現(xiàn)條件是用戶在公開網(wǎng)絡(luò)下使用非加密的方式訪問過普通網(wǎng)站。也就是說,用戶只要有一次與攻擊者共處在同一網(wǎng)絡(luò)中,并且通過非加密的方式訪問過普通網(wǎng)站,之后即使攻擊者和用戶不在同一網(wǎng)絡(luò)中,攻擊者也能完成攻擊。
事實(shí)上,在此之前,微博上曾經(jīng)就HTTPS是否安全掀起過一場“撕逼”大戰(zhàn)。起因是央視認(rèn)為免費(fèi)WiFi非常的不安全,黑客可以輕易的通過免費(fèi)WiFi竊取到用戶的密碼。央視警告用戶不要使用免費(fèi)WiFi登陸網(wǎng)銀或支付寶。而@奧卡姆剃刀認(rèn)為央視在傳播錯(cuò)誤的觀點(diǎn)。他認(rèn)為WiFi只是通道而已,網(wǎng)銀和支付寶都使用了HTTPS,即所有數(shù)據(jù)的傳輸都經(jīng)過加密的,黑客不可能通過WiFi竊取到密碼。
@奧卡姆剃刀的觀點(diǎn)引發(fā)了眾多安全界頂尖極客的反駁,極客們認(rèn)為HTTPS本身沒有問題,但是網(wǎng)銀對(duì)HTTPS的實(shí)現(xiàn)是有漏洞的。因?yàn)殂y行的程序員在編寫網(wǎng)銀程序時(shí)沒有嚴(yán)格遵守HTTPS,所以攻擊者可以通過偽造證書的方式進(jìn)行中間人劫持攻擊,從而竊取到用戶的網(wǎng)銀密碼。
現(xiàn)在,段海新教授發(fā)現(xiàn)的HTTPS的漏洞,使得被安全界公認(rèn)安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然沒有阻止攻擊。段海新教授表示這不是HTTPS實(shí)現(xiàn)上的漏洞,而是HTTPS本身的設(shè)計(jì)有漏洞。從這一點(diǎn)上來說,這一次段海新教授發(fā)現(xiàn)的漏洞的危害性要高于“心臟出血”漏洞,畢竟后者只是OpenSSL在實(shí)現(xiàn)SSL過程中產(chǎn)生的漏洞,而不是SSL本身設(shè)計(jì)有漏洞。
那么,連HTTPS都有漏洞,這么不安全的互聯(lián)網(wǎng)我們還要繼續(xù)用嗎?
事實(shí)上,互聯(lián)網(wǎng)自誕生以來就沒有安全過。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!