SSL 与 TLS 多年来被业界沿用为数据传输中的加密标准,但日前就有资安人员揭露指,原来上述两种加密方式依然存在着根本上的漏洞,被发现的漏洞更出现长达 13 年之久,用户敏感资料完全没保障。
首款只需被动式监听攻击方式
资安机构 Imperva 的研究人员 Itsik Mantin 于较早前在新加坡举办的黑帽会议上发表其研究报告“Attacking SSL when using RC4”。被 Mantin 发现的漏洞主要针对 RC4(Rivest Cipher 4)加密方式的 SSL 与 TLS 服务,而现时仍有约 30% 的串流加密方式采用以 RC4 作为技术基础的 TLS 作通路。
据报告指,针对此漏洞而衍生、名为“Bar-Mitzvah”的攻击方式甚至可省去中间人攻击(man-in-the-middle attack,MITM)的工夫,骇客只需要以合适的攻击手法就可以得到于 SSL / TLS 加密通路上传输的资料:当中包括如用户凭证、信用卡资料、账户密码等敏感资料,加密形同虚设。
Mantin 续指,Bar Mitzvah 为现时首款毋须 MITM 攻击、只需被动式监听或窃听就可针对 SSL / TLS 具实际应用的攻击方式。
而在等待相关 SSL / TLS 的修补档案推出的同时,网络应用管理人员亦应先将停用辖下应用中 TLS 设置的 RC4 功能;而用户亦可先将浏览器中 RC4 及相关功能暂时停用,以避免因上述漏洞而将自己的敏感资料奉送骇客。
- 13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text
(本文由 Unwire Pro 授权转载)
