電腦安全硬體供應商AlienVault指出,中國政府利用水坑攻擊與JSONP綁架漏洞蒐集中國異議人士的個人資料,涵蓋真實姓名、電子郵件地址、性別、生日,及電話號碼等。此一事件最早是由美國印地安那大學系統安全實驗室的博士班學生Sumayah Alrwais所發現。

根據AlienVault的調查,相關攻擊至少從2013年10月起便鎖定那些造訪非營利與非政府組織(NGOs)、維吾爾族與回教中文網站的訪客,先是竄改上述網站的內容並嵌入來自遠端伺服器的惡意JavaScript檔案,接著再利用此一JavaScript檔案攻擊中國超過15個大型網站的JSONP綁架漏洞,繞過網站的同源法則,並在目標族群登入這些網站時蒐集使用者的個資,再把資訊回傳至駭客所控制的伺服器。

JSONP為瀏覽器中執行JavaScript程式所使用的通訊技術,可向別的網域請求資料。JSONP綁架漏洞能夠繞過限制JavaScript只能存取同一網域名稱文件的同源法則(Same-Origin Policy),進而蒐集登入用戶的個人資訊,在此一攻擊中所使用的漏洞雖在2013年便已公諸於世,但顯然未受到應有的重視。

為數眾多的中國大型網站都受到JSONP綁架漏洞的影響,包含百度等前五大入口網站,被利用的網站有的會洩露使用者名字,有的會洩露使用者帳戶名稱、有的會洩露電子郵件與電話號碼,有的會洩露生日與性別。

↓ AlienVault列出受影響的中國網站,不乏超重量級的科技業者,包括了百度、淘寶、qq、新浪、搜狐、360…(資料來源:AlienVault)

一般而言,中國網路防火牆(GFW)能夠分析並封鎖離開中國的流量,但如果中國的使用者使用VPN或是TOR時就不盡然如此,GFW畢竟無法完全看透VPN或TOR流量。但透過這種攻擊手法,即使使用者利用VPN及TOR,也能夠知道什麼人什麼時候造訪了什麼網站。

AlienVault表示,使用TOR或VPN能夠為使用者的通訊加密,保有某種程度的隱私與匿名,但這並不意味著身份沒有曝光的風險,例如所使用的服務本身就會洩露個人資訊,或者所瀏覽的網站具有可被用來存取個人資訊的漏洞。

AlienVault科學長Jaime Blasco指出,這波攻擊僅鎖定那些擁護言論自由的網站,同時清楚展現了駭客蒐集個人資訊的目的並非為了獲利,而是為了取得使用者的真實身份。他建議各大網站應儘速修補JSONP漏洞,另也提醒生活在極權國家的使用者在以瀏覽器登入某個網站之後不要再於另一個視窗或頁籤上瀏覽敏感網站。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容