連HTTPS都有漏洞,這么不安全的互聯(lián)網(wǎng)我們還要繼續(xù)用嗎?
10月24日和25日,創(chuàng)投分享會(huì)君參加了GeekPwn(極棒)安全極客嘉年華活動(dòng)。
嗯...說(shuō)是嘉年華,其實(shí)就是一場(chǎng)智能設(shè)備破解Show。對(duì)于創(chuàng)投分享會(huì)君這樣不搞技術(shù)的媒體同學(xué),也就只能當(dāng)一場(chǎng)Show看了。對(duì)于真正的安全極客們來(lái)說(shuō),GeekPwn(極棒)是一場(chǎng)智能設(shè)備破解挑戰(zhàn)賽。當(dāng)創(chuàng)投分享會(huì)君正在觀看智能硬件破解Show的時(shí)候,來(lái)自世界各地的頂尖極客們正在Pwn(破解)掉手中的智能設(shè)備。
作為最為普及的智能設(shè)備,智能手機(jī)是極客們的首要目標(biāo)。先是曾經(jīng)三獲世界頂級(jí)黑客賽事Pwn2Own冠軍的Keen Team利用芯片級(jí)的高危漏洞設(shè)計(jì)的App,實(shí)現(xiàn)了在Android手機(jī)關(guān)機(jī)的情況下通過(guò)麥克風(fēng)和攝像頭竊聽(tīng)監(jiān)視手機(jī)用戶(hù),隨后世界頂尖iOS越獄團(tuán)隊(duì)盤(pán)古團(tuán)隊(duì)全球第一個(gè)實(shí)現(xiàn)了iOS8的越獄。而今年最火的特斯拉智能電動(dòng)汽車(chē)也成為極客們的目標(biāo)。利用Keen Team和V2S團(tuán)隊(duì)發(fā)現(xiàn)安全漏洞,即使是普通人也可以通過(guò)瀏覽器遠(yuǎn)程操控特斯拉智能電動(dòng)汽車(chē)。
最令創(chuàng)投分享會(huì)君吃驚的是,來(lái)自清華大學(xué)的段海新教授發(fā)現(xiàn)了HTTPS(超文本傳輸安全協(xié)議)設(shè)計(jì)上的漏洞。段海新教授演示了三種利用這一漏洞的方法:第一種,在Gmail中偽裝Gtalk好友。攻擊者可以偽裝成用戶(hù)的Gtalk好友給用戶(hù)發(fā)送借款信息。第二種,在中國(guó)銀聯(lián)中竊取用戶(hù)綁定的銀行卡。當(dāng)用戶(hù)在自己的銀聯(lián)賬號(hào)里綁定銀行卡時(shí),攻擊者可以讓用戶(hù)要綁定的銀行卡綁定到攻擊者的銀聯(lián)賬號(hào)里,而用戶(hù)完成銀行卡綁定操作后,用戶(hù)的銀聯(lián)賬號(hào)里并沒(méi)有綁定的銀行卡。第三種,在支付寶中竊取用戶(hù)網(wǎng)購(gòu)時(shí)的付款。當(dāng)用戶(hù)在網(wǎng)上購(gòu)物后付款時(shí),攻擊者可以讓用戶(hù)的付款轉(zhuǎn)移到攻擊者的支付寶賬號(hào)中,而用戶(hù)完成付款操作后,網(wǎng)上購(gòu)物的付款并沒(méi)有成功。
這三種方法的實(shí)現(xiàn)條件是用戶(hù)在公開(kāi)網(wǎng)絡(luò)下使用非加密的方式訪問(wèn)過(guò)普通網(wǎng)站。也就是說(shuō),用戶(hù)只要有一次與攻擊者共處在同一網(wǎng)絡(luò)中,并且通過(guò)非加密的方式訪問(wèn)過(guò)普通網(wǎng)站,之后即使攻擊者和用戶(hù)不在同一網(wǎng)絡(luò)中,攻擊者也能完成攻擊。
事實(shí)上,在此之前,微博上曾經(jīng)就HTTPS是否安全掀起過(guò)一場(chǎng)“撕逼”大戰(zhàn)。起因是央視認(rèn)為免費(fèi)WiFi非常的不安全,黑客可以輕易的通過(guò)免費(fèi)WiFi竊取到用戶(hù)的密碼。央視警告用戶(hù)不要使用免費(fèi)WiFi登陸網(wǎng)銀或支付寶。而@奧卡姆剃刀認(rèn)為央視在傳播錯(cuò)誤的觀點(diǎn)。他認(rèn)為WiFi只是通道而已,網(wǎng)銀和支付寶都使用了HTTPS,即所有數(shù)據(jù)的傳輸都經(jīng)過(guò)加密的,黑客不可能通過(guò)WiFi竊取到密碼。
@奧卡姆剃刀的觀點(diǎn)引發(fā)了眾多安全界頂尖極客的反駁,極客們認(rèn)為HTTPS本身沒(méi)有問(wèn)題,但是網(wǎng)銀對(duì)HTTPS的實(shí)現(xiàn)是有漏洞的。因?yàn)殂y行的程序員在編寫(xiě)網(wǎng)銀程序時(shí)沒(méi)有嚴(yán)格遵守HTTPS,所以攻擊者可以通過(guò)偽造證書(shū)的方式進(jìn)行中間人劫持攻擊,從而竊取到用戶(hù)的網(wǎng)銀密碼。
現(xiàn)在,段海新教授發(fā)現(xiàn)的HTTPS的漏洞,使得被安全界公認(rèn)安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然沒(méi)有阻止攻擊。段海新教授表示這不是HTTPS實(shí)現(xiàn)上的漏洞,而是HTTPS本身的設(shè)計(jì)有漏洞。從這一點(diǎn)上來(lái)說(shuō),這一次段海新教授發(fā)現(xiàn)的漏洞的危害性要高于“心臟出血”漏洞,畢竟后者只是OpenSSL在實(shí)現(xiàn)SSL過(guò)程中產(chǎn)生的漏洞,而不是SSL本身設(shè)計(jì)有漏洞。
那么,連HTTPS都有漏洞,這么不安全的互聯(lián)網(wǎng)我們還要繼續(xù)用嗎?
事實(shí)上,互聯(lián)網(wǎng)自誕生以來(lái)就沒(méi)有安全過(guò)。
知名風(fēng)險(xiǎn)投資公司
紅杉資本|瑞華投資|同創(chuàng)偉業(yè)|達(dá)晨創(chuàng)投|深創(chuàng)投|IDG|創(chuàng)東方|君聯(lián)資本|中科招商|經(jīng)緯中國(guó)|啟明創(chuàng)投|松禾資本|英特爾投資|優(yōu)勢(shì)資本|東方富海|天堂硅谷|九鼎投資|晨興創(chuàng)投|江蘇高科投|北極光創(chuàng)投|德同資本|凱雷投資|中國(guó)風(fēng)投|天圖資本|真格基金|DCM|IFC|凱鵬華盈|高盛投資|啟迪創(chuàng)投|戈壁|荷多投資|紀(jì)源資本|鼎暉投資|華平投資|金沙江投資|海納亞洲|永宣創(chuàng)投|險(xiǎn)峰華興創(chuàng)投|中投|海通開(kāi)元|中信資本|力鼎資本|平安創(chuàng)新資本|天使灣創(chuàng)投|和君資本|祥峰集團(tuán)|招商湘江投資|元禾控股|力合創(chuàng)投|復(fù)星創(chuàng)富|陜西高投|光速創(chuàng)投|富達(dá)亞洲|成為資本|中信產(chǎn)業(yè)基金|GIC|基石資本|金茂資本|富坤創(chuàng)投|盈富泰克|重慶科投|鼎暉創(chuàng)投|北工投資|海富投資|招商局資本|新天域資本|中路集團(tuán)|摩根士丹利|青云創(chuàng)投|建銀國(guó)際|德豐杰|弘毅投資|CVC|藍(lán)馳創(chuàng)投|寬帶資本|秉鴻資本|金石投資|天創(chuàng)資本|證大投資|中經(jīng)合|信中利|蘭馨亞洲|淡馬錫|浙商創(chuàng)投|華睿投資|景林資產(chǎn)|摯信資本|高特佳|清科創(chuàng)投|華登國(guó)際|山東高新投|集富亞洲|騰訊|無(wú)錫創(chuàng)投|創(chuàng)新工場(chǎng)|智基創(chuàng)投|策源創(chuàng)投|軟銀中國(guó)|
創(chuàng)業(yè)聯(lián)合網(wǎng)是創(chuàng)業(yè)者和投資人的交流平臺(tái)。平臺(tái)擁有5000+名投資人入駐。幫助創(chuàng)業(yè)企業(yè)對(duì)接投資人和投資機(jī)構(gòu),同時(shí)也是創(chuàng)業(yè)企業(yè)的媒體宣傳和交流合作平臺(tái)。
熱門(mén)標(biāo)簽
精華文章
