野外假冒Google、Facebook和iTunes的假SSL证书

  业务中心     |      2018-06-19

研究人员发现了数十张假冒在线银行、电子商务网站和社交网络安全部分的假证书。Google、Facebook、iTunes,甚至GoDaddy的POP电子邮件服务器都是受欺诈凭据影响的服务的一小部分,在某些情况下,攻击者可以读取和修改终端用户和受保护服务器之间传递的加密流量。Netcraft的研究人员在周三发表的博客文章中写道,

安全套接字层( SSL )证书不会对使用流行Web浏览器访问假冒网站的人构成很大威胁,因为证书没有可信的证书颁发机构进行数字签名。他们接着说,使用智能手机应用程序或其他非浏览器软件访问敏感网站的人可能没有那么幸运。

他们引述了过去几年发表的几份报告,其中详述了流行软件中致命的弱点,使得攻击者能够解密加密流量,并且在某些情况下模拟加密认证的服务器。例如,2012年10月的一项学术研究发现,运行在计算机和智能手机上的各种应用程序存在严重缺陷,其中一些应用程序来自大通银行和美国在线( AOL )等服务部门,未能检查SSL证书的有效性。另一项研究发现,安装在多达1.85亿台设备上的Android应用程序暴露了最终用户在线银行和社交网络凭据以及电子邮件和即时消息内容,因为这些程序使用了不充分的加密保护。安全公司IOActive最近的一份报告揭露了为苹果iOS平台编写的应用程序中类似的弱点。

移动设备的网上银行应用程序是中间人攻击的诱人目标,因为SSL证书验证绝非小事,而且移动应用程序常常达不到web浏览器执行的验证标准, Netcraft研究人员在周三的报告中写道。 40 %由IO Active测试的基于iOS的银行应用程序容易受到此类攻击,因为它们无法验证服务器提供的SSL证书的真实性。德国汉诺威莱布尼兹大学和马尔堡菲利普大学发现,41 %的选定安卓应用程序在手工测试中容易受到攻击。

Netcraft发现的许多伪造SSL证书都是恶意创建的。* . Google . com的通配符证书表明有人试图欺骗各种Google服务。这个假证书是罗马尼亚的一台机器提供给其他网站的。罗和。com域。假证件声称是由美国在线根认证机构42签发的。该名称与安装在所有浏览器中的合法可信根证书非常相似,尽管它不足以欺骗它们。其他伪装成Facebook、iTunes以及俄罗斯支付服务和银行证书的欺诈性凭据。

又一个假证书覆盖了POP . where . secureserver . net,属于GoDaddy POP电子邮件服务的服务器地址。“

在这种情况下,机会可能是犯罪(获取邮件凭据、发布密码重置、窃取敏感数据),甚至是国家间谍活动,尽管通过网站提供这样的证书是意料之外的。”Netcraft报告说。虽然实际意图不明,但值得注意的是,许多邮件客户端允许临时或永久忽略证书错误,有些用户可能习惯于忽略此类警告。

幸运的是,许多最受欢迎的应用程序,例如Twitter、Facebook、Google和其他应用程序,都使用一种称为证书锁定的技术,自动拒绝来自提供假SSL证书的站点的连接。如前所述,主要浏览器在遇到未经签名的凭据时会发出可怕的警告。但考虑到有大量的电子邮件客户端、智能手机应用程序和其他非浏览器程序可用,认为Netcraft发现的证书现在在愚弄一些人并不夸张。在安装SSL保护的服务器之前,您应该仔细考虑任何连接到SSL保护的服务器的应用程序的来源,并且不应该通过警告自签名证书的弹出窗口单击。