研究者最近發現了一個存在於TLS 1.0(幾乎應由於所有HTTPS加密網站的協議)的重大弱點。利用這個漏洞,黑客將可以悄無聲息的解密客戶端和服務器端之間通過HTTPS傳輸的數據。
此攻擊僅針對TLS 1.0 ,目前使用最廣泛的安全加密協議。只要第三方能控制終端與服務器之間的鏈接即可利用此漏洞破解幾乎所有網站的SSL加密,諸如PayPal、GMail等大型網站也不例外。甚至HSTS(強制安全協議),一種讓用戶直接訪問安全服務器(而不是經過不安全的鏈接跳轉)的協議,都不能阻止這種漏洞。
此安全隱患波及範圍之廣泛和危害程度之大讓人震驚。在本週即將在布宜諾斯艾利斯舉行的黑客技術研討會上,Thai Duong和Juliano Rizzo將展示一個利用此漏洞的方式,聲稱作BEAST的一個JS腳本,配合一個網絡連接嗅探器即可在30分鐘內解密一個PayPal的用戶Cookie。兩人稱目前還在繼續優化腳本,爭取將破解時間降低到10分鐘。
Google針對BEAST為Chrome緊急發佈了一個補丁,但此漏洞依然強力危害著眾多的瀏覽器和個人。
「如果此技術果真能在10分鐘解密HTTPS安全連接,那麼我們確實面臨了一個重大的危險。」
若是GFW掌握了此技術,恐怕安全的HTTPS也不是許多站點的藏身之所了。(文/開源中國)
沒有留言:
發佈留言