上周兩名來自PhoneFactor的研究人員在揭露了SSL協定的安全漏洞,並指出該漏洞可能導致中間人攻擊。隨後另一研究人員Anil Kurmus就展示如何藉由Twitter的相關漏洞竊取該網站使用者的登入資訊。
根據PhoneFactor的說明,SSL擁有一個憑證缺口(SSL Authentication Gap)漏洞,該漏洞允許駭客將自己注入驗證SSL的通訊路徑並執行命令,以發動中間人攻擊。SSL(Secure Sockets Layer)是目前最普及的安全協定,而TLS(Transport Layer Security)則是IETF將SSL標準化後的名稱,雙方僅有細微的差距,並成為一互通的名詞。
根據Educated Guesswork的解釋,駭客首先要連結到TLS伺服器,透過TLS的重新協商(renegotiation)功能,他可隨心所欲地與該伺服器通訊,伺服器會將不同的協商都視為來自原本的使用者,並藉以挾持客戶端與伺服器端的連結。
TLS只是一個安全協定,因此相關攻擊的影響來自於採用TLS的應用程式協定,最重要的就是HTTPS,幾乎所有的網路應用程式都是透過使用者名稱及密碼進行初期的驗證,並以HTTP cookie來持續驗證狀態。因此,駭客可以請求伺服器傳送使用者原本的請求給他,如果該請求包含使用者的cookie或密碼,就會讓使用者的機密資訊外洩。
原本認為只要部署跨站偽造請求(CSRF)保護機制的網站就可避免該TLS漏洞的IBM研究人員Tom Cross,在看過Kurmus的展示後便坦承事態比他當初想的還要嚴重。
Cross說,有很多網路應用程式允許使用者儲存或傳送任意資料,最明顯的例子就是網路電子郵件服務,駭客可以將受害者的cookie郵寄一份給自己,未來可能還會發現該漏洞的各種角度,HTTPS並不是唯一使用SSL的協定。
Cross指出,幸好可關閉重新協商功能的OpenSSL新版本已出爐,該版本可適用於大多數的應用程式,其中Twitter就已部署完成。
Educated Guesswork認為99%以上的網站都能透過關閉重新協商功能減輕此一威脅,但這並非長久之計,應該要自根本上解決伺服器端及客戶端對重新協商認知不一致的問題。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12