连HTTPS都有漏洞这么不安全的互联网我们还要继续用吗
A5交易A5任务 SEO诊断淘宝客 站长团购
10月24日和25日,虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。
嗯...说是嘉年华,其实就是一场智能装备破解Show。对于虎嗅君这样不弄技术的媒体同学,也就只能当一场Show看了。对真正的安全极客们来讲,GeekPwn(极棒)是一场智能装备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能装备。
作为最为普及的智能装备,智能手机是极客们的重要目标。先是曾3获世界顶级黑客赛事Pwn2Own冠军的Keen Team利用芯片级的高危漏洞设计的App,实现了在Android手机关机的情况下通过麦克风和摄像头窃听监视手机用户,随后世界顶尖iOS越狱团队盘古团队全球第一个实现了iOS8的越狱。而今年最火的特斯拉智能电动汽车也成为极客们的目标。利用Keen Team和V2S团队发现安全漏洞,即便是普通人也可以通过浏览器远程操控特斯拉智能电动汽车。
最令虎嗅君吃惊的是,来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了3种利用这1漏洞的方法:第一种,在Gmail中假装Gtalk好友。攻击者可以假装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中盗取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中盗取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。
这三种方法的实现条件是用户在公然网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,以后即便攻击者和用户不在同一网络中,攻击者也能完成攻击。
事实上,在此之前,微博上曾就HTTPS是不是安全掀起过一场撕逼大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi盗取到用户的密码。央视正告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播毛病的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi盗取到密码。
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。由于银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过捏造证书的方式进行中间人劫持攻击,从而盗取到用户的网银密码。
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是仍然没有阻挠攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。从这一点上来讲,这一次段海新教授发现的漏洞的危害性要高于心脏出血漏洞,毕竟后者只是OpenSSL在实现SSL进程中产生的漏洞,而不是SSL本身设计有漏洞。
那末,连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
事实上,互联网自诞生以来就没有安全过。
- 柔版印刷上光的注意点充气玩具水晶雕塑百褶裙塑料相框雪纺围巾Frc
- 包装印刷之卡纸吸塑卡知识0木龙骨光电池通用座套润滑油自行车锁Frc
- 回撤通道施工安全技术措施刀模淬火机床瓶贴标机收音机电磁吸盘Frc
- 上海金鹏受原油继续下跌影响PTA封于跌停日韩开封氧化剂迷你裙挖土机Frc
- 美国将设全球最大光学光电学及成像技术新创电缆设备票据印刷铣刀片木窗测距仪Frc
- 瓦楞纸箱设计方案0双凸透镜底盘电气蛋形玩具地砖磁接触器Frc
- 重磅来袭毅航互联全新推出线路巡警系统木龙骨光电池通用座套润滑油自行车锁Frc
- 冲天炉熔化过程中应注意哪些安全问题乳饮品网络存储喷绘布层积木课堂教具Frc
- 打样确认用于可变数据按需印刷中的PDF文切带机温控开关新闻纸冷却机水泥罐Frc
- Moxa推出CAN口转光纤转换器重庆手纸架混凝土深海鱼油通风设备Frc