示意圖,與新聞事件無關。

兩名來自比利時魯汶大學的博士候選人Mathy Vanhoef與Tom Van Goethem在本周舉行的黑帽駭客大會(Black Hat)展示了一項名為HEIST的攻擊手法, 可竊取使用者於HTTPS網頁上傳輸的資訊。

HEIST的全名是「可藉由TCP竊取HTTPS的加密資訊」(HTTPS Encrypted Information can be Stolen Through TCP Windows), 只要在任何加密網站的網頁或廣告中植入惡意的JavaScript檔案,當使用者以瀏覽器造訪網站時, 所輸入的資訊就可能遭到攔截,不論是電子郵件位址或社會安全碼。

HEIST技術開採的是HTTPS的回應透過TCP傳輸時的方法 ,以惡意程式查詢由SSL或TLS等安全通訊協定所保護的網頁, 並測量所傳輸的加密文件大小, 一旦駭客得知所傳輸文件的精確尺寸, 就能利用BREACH或CRIME等既有的攻擊工具進行解密。

Goethem透露, 過去駭客必須處於使用者與網站伺服器之間的中間人位置才能利用BREACH或CRIME展開攻擊, 現在只需要受害者造訪藏匿惡意程式的網站即可。

目前已知可減緩相關攻擊的方式只有關閉第三方的Cookie, 然而,多數瀏覽器的預設值都允許Cookie, 而且有些網路服務必須藉由Cookie才能運作。


Advertisement

更多 iThome相關內容