連 HTTPS 都有漏洞,這麼不安全的互聯網我們還要繼續用嗎?
10月24日和25日,虎嗅君參加了GeekPwn(極棒)安全極客嘉年華活動。
嗯...說是嘉年華,其實就是一場智能設備破解Show。對於虎嗅君這樣不搞技術的媒體同學,也就只能當一場Show看了。對於真正的安全極客們來說,GeekPwn(極棒)是一場智能設備破解挑戰賽。當虎嗅君正在觀看智能硬件破解Show的時候,來自世界各地的頂尖極客們正在Pwn(破解)掉手中的智能設備。
作為最為普及的智能設備,智能手機是極客們的首要目標。先是曾經三獲世界頂級黑客賽事Pwn2Own冠軍的Keen Team利用芯片級的高危漏洞設計的App,實現了在Android手機關機的情況下通過麥克風和攝像頭竊聽監視手機用戶,隨後世界頂尖iOS越獄團隊盤古團隊全球第一個實現了iOS8的越獄。而今年最火的特斯拉智能電動汽車也成為極客們的目標。利用Keen Team和V2S團隊發現安全漏洞,即使是普通人也可以通過瀏覽器遠程操控特斯拉智能電動汽車。
最令虎嗅君吃驚的是,來自清華大學的段海新教授發現了HTTPS(超文本傳輸安全協議)設計上的漏洞。段海新教授演示了三種利用這一漏洞的方法:第一種,在Gmail中偽裝Gtalk好友。攻擊者可以偽裝成用戶的Gtalk好友給用戶發送借款信息。第二種,在中國銀聯中竊取用戶綁定的銀行卡。當用戶在自己的銀聯賬號裡綁定銀行卡時,攻擊者可以讓用戶要綁定的銀行卡綁定到攻擊者的銀聯賬號裡,而用戶完成銀行卡綁定操作後,用戶的銀聯賬號裡並沒有綁定的銀行卡。第三種,在支付寶中竊取用戶網購時的付款。當用戶在網上購物後付款時,攻擊者可以讓用戶的付款轉移到攻擊者的支付寶賬號中,而用戶完成付款操作後,網上購物的付款並沒有成功。
這三種方法的實現條件是用戶在公開網絡下使用非加密的方式訪問過普通網站。也就是說,用戶只要有一次與攻擊者共處在同一網絡中,並且通過非加密的方式訪問過普通網站,之後即使攻擊者和用戶不在同一網絡中,攻擊者也能完成攻擊。
事實上,在此之前,微博上曾經就HTTPS是否安全掀起過一場“撕逼”大戰。起因是央視認為免費WiFi非常的不安全,黑客可以輕易的通過免費WiFi竊取到用戶的密碼。央視警告用戶不要使用免費WiFi登陸網銀或支付寶。而@奧卡姆剃刀認為央視在傳播錯誤的觀點。他認為WiFi只是通道而已,網銀和支付寶都使用了HTTPS,即所有數據的傳輸都經過加密的,黑客不可能通過WiFi竊取到密碼。
@奧卡姆剃刀的觀點引發了眾多安全界頂尖極客的反駁,極客們認為HTTPS本身沒有問題,但是網銀對HTTPS的實現是有漏洞的。因為銀行的程序員在編寫網銀程序時沒有嚴格遵守HTTPS,所以攻擊者可以通過偽造證書的方式進行中間人劫持攻擊,從而竊取到用戶的網銀密碼。
現在,段海新教授發現的HTTPS的漏洞,使得被安全界公認安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然沒有阻止攻擊。段海新教授表示這不是HTTPS實現上的漏洞,而是HTTPS本身的設計有漏洞。從這一點上來說,這一次段海新教授發現的漏洞的危害性要高於“心臟出血”漏洞,畢竟後者只是OpenSSL在實現SSL過程中產生的漏洞,而不是SSL本身設計有漏洞。
那麼,連HTTPS都有漏洞,這麼不安全的互聯網我們還要繼續用嗎?
事實上,互聯網自誕生以來就沒有安全過。
資料來源:虎嗅網