SSL、TLS 都出事 資安人員揭 13 年漏洞威脅所有用戶

SSL 與 TLS 多年來被業界沿用為數據傳輸中的加密標準,但日前就有資安人員揭露指,原來上述兩種加密方式依然存在着根本上的漏洞,被發現的漏洞更出現長達 13 年之久,令用戶敏感資料如同「無掩雞籠」。

SSL 與 TLS 多年來被業界沿用為數據傳輸中的加密標準,但日前就有資安人員揭露指,原來上述兩種加密方式依然存在着根本上的漏洞,被發現的漏洞更出現長達 13 年之久,令用戶敏感資料如同「無掩雞籠」。

 

成首款只需被動式監聽攻擊方式

資安機構 Imperva 的研究人員 Itsik Mantin 於較早前於新加坡舉辦的黑帽會議上發表其研究報告「Attacking SSL when using RC4」。

被 Mantin 發現的漏洞主要針對 RC4 (Rivest Cipher 4) 加密方式的 SSL 與 TLS 服務,而現時仍有約 30% 的串流加密方式採用以 RC4 作為技術基礎的 TLS 作渠道。

據報告指,針對此漏洞而衍生、名為「Bar-Mitzvah」的攻擊方式甚至可省卻中間人攻擊 (man-in-the-middle attack,MITM) 的工夫,黑客只需要以合適的攻擊手法就可以得到於 SSL/TLS 加密渠道上傳輸的資料:當中包括如用戶憑證、信用卡資料、帳戶密碼等敏感資料,加密形同虛設。

Mantin 續指,Bar Mitzvah 為現時首款毋須 MITM 攻擊、只需被動式監聽或竊聽就可針對 SSL/TLS 具實際應用的攻擊方式。

而在等待相關 SSL/TLS 的修補檔案推出的同時,網絡應用管理人員亦應先將停用轄下應用中 TLS 設置的 RC4 功能;而用戶亦可先將瀏覽器中 RC4 及相關功能暫時停用,以避免因上述漏洞而將自己的敏感資料奉上予黑客。

Source:The Hacker News