主页 > X嗨生活 >安卓和苹果用户小心了!最新 SSLTSL 漏洞 Freak >

安卓和苹果用户小心了!最新 SSLTSL 漏洞 Freak

安卓和苹果用户小心了!最新 SSLTSL 漏洞 Freak

最近又一个 SSL/TSL 漏洞「Freak」( CVE-2015-0204) 被揭发,这个漏洞已存在十多年了,它让数以百万的 Apple、Android 用户在造访应该「安全」的网站(诸如,白宫、FBI、NSA 等网站)时,被动暴露在对加密流量的 中间人攻击 攻击中。

Freak 漏洞主要是让骇客或情报机构能够执行加密降级攻击,送出弱密码金钥,以便破解加密防护。用这种方法,在流量加密遭破解后,骇客得以窃听到用户原本以为十分安全的通讯内容。

这个漏洞是由法国安全公司 Inria 以及微软发现的。

Freak 的历史渊源

回到 1990 年代,美国政府尝试规範使用「强」加密的出口产品以及装置,他们希望这些货品在运送出美国前能够安装弱「汇出等级」的加密装置。

在当时,政府允许最大 512 bits 的金钥;接着在 2000 年随着美国出口法的修正,该法允许卖主在他们的产品中使用 128-bit 的密码,并卖到世界各地。

唯一的问题是这个「汇出等级」密码从未被撤掉,而现在三十年过去,Freak 漏洞让骇客可以超方便地藉由 HTTPS 连结来解密一个网站的私人金钥,以及破解密码、login cookies 以及其他敏感的资讯。

Freak 漏洞是怎幺运作的?

约翰·霍普金斯大学资安学院的研究助理教授 Matthew Green 在自己的 blog 上总结了 Freak 漏洞,并详细解说骇客可以怎幺以此进行中间人攻击:

36% 的 SSL 网站面对骇客攻击几乎无力可挡

一份扫描发现在超过 1,400 万个支援 SSL/TLS 协定的网站中,有 36% 面对适才提到的这种攻击时几乎无力可挡。

当使用者在使用一个「脆弱」的装置(包含了 Android 手机、iPhone、运行苹果 OS X 操作系统的 MAC 等)连结脆弱的「HTTPS 保护」网站时,是很可能直接遭受 Freak 漏洞攻击。目前为止,用  Windows 以及 Linux 系统的终端装置被认为不受此漏洞影响。

苹果和 Google 计划修补 Freak 漏洞

目前 Google 表示一个 Android 补丁已经分送给了众合作伙伴;同时,Google 也呼求各网站一起来抵制。

除了 Google,苹果也回应了这个 Freak 漏洞,并且发表了一份声明「对 iOS 以及 OS X 的修正将在下周的软体升级中出现 。」


上一篇: 下一篇: