轉載自 http://www.huxiu.com/article/45302/1.html
10月24日和25日,虎嗅君參加了GeekPwn(極棒)安全極客嘉年華活動。
嗯...說是嘉年華,其實就是一場智慧裝置破解Show。對於虎嗅君這樣不搞技術的媒體同學,也就只能當一場Show看了。對於真正的安全極客們來說,GeekPwn(極棒)是一場智慧裝置破解挑戰賽。當虎嗅君正在觀看智慧硬體破解Show的時候,來自世界各地的頂尖極客們正在Pwn(破解)掉手中的智慧裝置。
作為最為普及的智慧裝置,智慧手機是極客們的首要目標。先是曾經三獲世界頂級黑客賽事Pwn2Own冠軍的Keen Team利用晶片級的高危漏洞設計的App,實現了在Android手機關機的情況下通過麥克風和攝像頭竊聽監視手機使用者,隨後世界頂尖iOS越獄團隊盤古團隊全球第一個實現了iOS8的越獄。而今年最火的特斯拉智慧電動汽車也成為極客們的目標。利用Keen Team和V2S團隊發現安全漏洞,即使是普通人也可以通過瀏覽器遠端操控特斯拉智慧電動汽車。
最令虎嗅君吃驚的是,來自清華大學的段海新教授發現了HTTPS(超文字傳輸安全協議)設計上的漏洞。段海新教授演示了三種利用這一漏洞的方法:第一種,在Gmail中偽裝Gtalk好友。攻擊者可以偽裝成使用者的Gtalk好友給使用者傳送借款資訊。第二種,在中國銀聯中竊取使用者繫結的銀行卡。當使用者在自己的銀聯賬號裡繫結銀行卡時,攻擊者可以讓使用者要繫結的銀行卡繫結到攻擊者的銀聯賬號裡,而使用者完成銀行卡繫結操作後,使用者的銀聯賬號裡並沒有繫結的銀行卡。第三種,在支付寶中竊取使用者網購時的付款。當使用者在網上購物後付款時,攻擊者可以讓使用者的付款轉移到攻擊者的支付寶賬號中,而使用者完成付款操作後,網上購物的付款並沒有成功。
這三種方法的實現條件是使用者在公開網路下使用非加密的方式訪問過普通網站。也就是說,使用者只要有一次與攻擊者共處在同一網路中,並且通過非加密的方式訪問過普通網站,之後即使攻擊者和使用者不在同一網路中,攻擊者也能完成攻擊。
事實上,在此之前,微博上曾經就HTTPS是否安全掀起過一場“撕逼”大戰。起因是央視認為免費WiFi非常的不安全,黑客可以輕易的通過免費WiFi竊取到使用者的密碼。央視警告使用者不要使用免費WiFi登陸網銀或支付寶。而@奧卡姆剃刀認為央視在傳播錯誤的觀點。他認為WiFi只是通道而已,網銀和支付寶都使用了HTTPS,即所有資料的傳輸都經過加密的,黑客不可能通過WiFi竊取到密碼。
@奧卡姆剃刀的觀點引發了眾多安全界頂尖極客的反駁,極客們認為HTTPS本身沒有問題,但是網銀對HTTPS的實現是有漏洞的。因為銀行的程式設計師在編寫網銀程式時沒有嚴格遵守HTTPS,所以攻擊者可以通過偽造證書的方式進行中間人劫持攻擊,從而竊取到使用者的網銀密碼。
現在,段海新教授發現的HTTPS的漏洞,使得被安全界公認安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然沒有阻止攻擊。段海新教授表示這不是HTTPS實現上的漏洞,而是HTTPS本身的設計有漏洞。從這一點上來說,這一次段海新教授發現的漏洞的危害性要高於“心臟出血”漏洞,畢竟後者只是OpenSSL在實現SSL過程中產生的漏洞,而不是SSL本身設計有漏洞。
那麼,連HTTPS都有漏洞,這麼不安全的網際網路我們還要繼續用嗎?
事實上,網際網路自誕生以來就沒有安全過。