转载自 http://www.huxiu.com/article/45302/1.html
10月24日和25日,虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。
嗯...说是嘉年华,其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学,也就只能当一场Show看了。对于真正的安全极客们来说,GeekPwn(极棒)是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能设备。
作为最为普及的智能设备,智能手机是极客们的首要目标。先是曾经三获世界*黑客赛事Pwn2Own冠军的Keen Team利用芯片级的高危漏洞设计的App,实现了在Android手机关机的情况下通过麦克风和摄像头窃听监视手机用户,随后世界顶尖iOS越狱团队盘古团队全球第一个实现了iOS8的越狱。而今年最火的特斯拉智能电动汽车也成为极客们的目标。利用Keen Team和V2S团队发现安全漏洞,即使是普通人也可以通过浏览器远程操控特斯拉智能电动汽车。
最令虎嗅君吃惊的是,来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了三种利用这一漏洞的方法:第一种,在Gmail中伪装Gtalk好友。攻击者可以伪装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中窃取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中窃取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。
这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。
事实上,在此之前,微博上曾经就HTTPS是否安全掀起过一场“撕逼”大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi窃取到用户的密码。央视警告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播错误的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi窃取到密码。
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。因为银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过伪造证书的方式进行中间人劫持攻击,从而窃取到用户的网银密码。
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然没有阻止攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。从这一点上来说,这一次段海新教授发现的漏洞的危害性要高于“心脏出血”漏洞,毕竟后者只是OpenSSL在实现SSL过程中产生的漏洞,而不是SSL本身设计有漏洞。
那么,连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
事实上,互联网自诞生以来就没有安全过。