加密等於虛設,SSL、TLS 有存在 13 年的大漏洞

作者 | 發布日期 2015 年 04 月 06 日 0:00 | 分類 網路 , 資訊安全 line share follow us in feedly line share
加密等於虛設,SSL、TLS 有存在 13 年的大漏洞


SSL 與 TLS 多年來被業界沿用為數據傳輸中的加密標準,但日前就有資安人員揭露指,原來上述兩種加密方式依然存在著根本上的漏洞,被發現的漏洞更出現長達 13 年之久,用戶敏感資料完全沒保障。

首款只需被動式監聽攻擊方式

資安機構 Imperva 的研究人員 Itsik Mantin 於較早前在新加坡舉辦的黑帽會議上發表其研究報告「Attacking SSL when using RC4」。被 Mantin 發現的漏洞主要針對 RC4(Rivest Cipher 4)加密方式的 SSL 與 TLS 服務,而現時仍有約 30% 的串流加密方式採用以 RC4 作為技術基礎的 TLS 作通路。

據報告指,針對此漏洞而衍生、名為「Bar-Mitzvah」的攻擊方式甚至可省去中間人攻擊(man-in-the-middle attack,MITM)的工夫,駭客只需要以合適的攻擊手法就可以得到於 SSL / TLS 加密通路上傳輸的資料:當中包括如用戶憑證、信用卡資料、帳戶密碼等敏感資料,加密形同虛設。

Mantin 續指,Bar Mitzvah 為現時首款毋須 MITM 攻擊、只需被動式監聽或竊聽就可針對 SSL / TLS 具實際應用的攻擊方式。

而在等待相關 SSL / TLS 的修補檔案推出的同時,網路應用管理人員亦應先將停用轄下應用中 TLS 設置的 RC4 功能;而用戶亦可先將瀏覽器中 RC4 及相關功能暫時停用,以避免因上述漏洞而將自己的敏感資料奉送駭客。

(本文由 Unwire Pro 授權轉載)