首页
社区
课程
招聘
SSL/TLS又曝新漏洞 可明文读取传输数据
发表于: 2015-4-1 13:21 5460

SSL/TLS又曝新漏洞 可明文读取传输数据

2015-4-1 13:21
5460
新闻链接:http://safe.zol.com.cn/514/5140369.html
新闻时间:2015-04-01 09:29:00
新闻正文:

SSL/TLS协议是一个被广泛使用的加密协议,而研究人员近日了曝出一个名为“受诫礼”的新型攻击手段,能够窃取通过SSL和TLS协议传输的机密数据,诸如银行卡号码,密码和其他敏感信息。这种攻击利用了一个RC4加密算法中的一个长达13年的漏洞。众所周知RC4算法不怎么安全,但事实是互联网上30%的TLS流量加密使用的都是RC4算法。

  这种攻击方法被取名为“受诫礼(Bar-Mitzvah)”,与之前多数的SSL攻击手段不同,这种攻击甚至不需要在客户端和服务器间实施中间人攻击。

  安全研究员Itsik Mantin周四在新加坡举行的Black Hat亚洲安全会议上展示了他的研究,题为《对使用RC4算法的SSL进行攻击》。Bar Mitzvah攻击实际上是利用了“不变性漏洞”,这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

  研究人员在其报告中写道:“RC4算法的安全性已经被质疑了很多年了,特别是它的初始化机制。但是,直到最近几年我们才呼吁弃用RC4。这次的研究中,我们跟进2013年RC4的研究,并且发现它对于很多使用了RC4的系统上的已知漏洞的影响很显然被低估了。”

  Bar Mitzvah攻击是首个仅仅需要被动嗅探和监听SSL/TLS连接就可以进行攻击的方法,它不需要中间人攻击。不过研究人员称,要劫持会话可能还是要用到中间人攻击。

  过去一年,SSL协议中多个重大漏洞被爆出,包括BEAST, POODLE和CRIME。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
明文 太可怕了
2015-4-1 23:11
0
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
EXP呢 POC呢
2015-4-2 12:34
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
2015-4-12 15:32
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
2015-4-16 13:18
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
2014互联网安全大会移动安全论坛上,TrustGo安全实验室创始人王磊告诉人们,手机病毒正在呈“哑铃式”发展,手机病毒样本很多,危害严重,但传播受限明显。
危害极强的手机病毒成倍增长,却罕见病毒爆发。“蝗虫木马”(XXshenqi)利用短信在熟人间传播,最先突破瓶颈。“蝗虫木马”只是冰山一角,手机病毒一直在努力突破传播瓶颈。
据介绍,目前目前手机病毒主要有12种传播方式:应用市场、短信、社交网络、即时聊天工具、Drive-By下载、USB、伪基站、蓝牙、二维码、系统ROM、恶意广告平台、利用安全漏洞。
XTaoAd.A手机病毒攻击中国主流应用市场,后台自动下载推广其他应用,并诱骗用户点击安装,消耗流量电量。classes.dex不包含恶意代码,但它会自动从远处服务器下载恶意JAR文件,并加载执行。这些恶意JAR文件还会下载执行更多的恶意文件。这是延迟攻击的典型病毒。
2012年2月,为了阻止Google Play上恶意应用的传播,Google发布了安全服务Bouncer。Bouncer可以检出40%的恶意应用。Dropdialer.A手机病毒成功逃避Google Bouncer的检测,在Google Play上线两周后才被发现。Dropdialer.A手机病毒伪装成墙纸APP,后台会悄悄下载恶意APP,然后强制用户安装该恶意APP并进行恶意扣费。这是更新攻击的典型手机病毒。
BankStealer.A利用应用加固技术加壳,伪装成微信,偷信用卡帐号和银行预留信息,盗刷银行卡偷钱。
XXShenqi手机病毒通过短信传播,是首个成功爆发的手机病毒,一日之内转发短信680万,感染60万。
俄国流行的短信扣费病毒Opfake.A,通过社交网络Twitter传播。Twitter是俄罗斯扣费病毒主要的传播渠道。因为搜索引擎会给推文内容比较高的索引优先,所以当用户搜索歌曲、应用、成人内容时,含有虚假SEO内容和病毒链接的推文会排的很靠前。根据Lookout的研究,有25%的推文包含恶意链接。
Priyanka是一个通过即时聊天工具Whatsapp传播的病毒。用户会收到名为“Priyanka”的Whatsapp联系人文件,如果用户同意将这个文件添加到Whatsapp联系人列表,那么用户所有Whatsapp的联系人名称都会变成“Priyanka”。
Drive-By下载,路过式下载。用户没有主动点击时,在后台依然会自动开始下载恶意应用。网站挂马和垃圾邮件是主要的实现方式。NotCompatible.A就是这样的手机病毒。
当Android手机使用USB连接到Windows PC时,PC上的程序将手机病毒自动安装到手机上。Droidpak.A会自动下载ADB工具和手机病毒AV-cdk.apk(FakeBank.B)。当Android手机连接到这台PC时,自动安装AV-cdk.apk到手机上。
FakeCMCC.A伪装成移动客户端,通过伪基站进行传播。曾被称为“史上最强手机病毒”的Obad.A则是通过蓝牙进行传播。伪淘宝清单(SmForw.CJ)是在淘宝交易过程中,买家发起欺诈行为,所发送的二维码手机病毒。
通过第三方ROM传播的Oldboot.A(又名:不死木马)会修改设备的boot分区和启动配置脚本,在系统启动的早期创建系统服务和释放恶意软件。中国有超过50万台Android设备感染。
BadNews被设计成一个广告平台,嵌入到正常的应用程序中。但是该广告平台展示的广告链接直接指向扣费短信病毒。利用安全漏洞传播的手机病毒隐蔽性强、危害大,传播能力强,范围广。
手机病毒依然在顽强的找寻突破传播途径的方法,看紧您的手机话费吧。
2015-4-19 00:46
0
雪    币: 3
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
嗅探源端流量以密文方式获取,之后通过唯密文方法进行破解么?
若想劫持肯定是需要中间人的方法吧
2015-4-19 18:02
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
RC4算法的安全性确实有问题。
2015-4-24 13:01
0
雪    币: 0
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
哎呀不要更多的SSL漏洞啊
2015-4-24 23:42
0
游客
登录 | 注册 方可回帖
返回
//