據美國《連線》雜志6月5日報道,今年4月爆出的“心臟出血”(Heartbleed)漏洞至今依然令整個互聯網界心有余悸,可是如今OpenSSL安全協議又爆出另一項重大漏洞,據悉這項漏洞已經潛伏十六年之久。
OpenSSL基金會近期發布一項建議性警告,希望用戶再次對所使用的SSL安全協議進行升級,以修復一項此前從未發現的漏洞。據悉,該漏洞已經存在了十六年,能夠允許任何黑客破解加密層竊取數據。由于OpenSSL安全協議在全球廣泛使用,因此該基金會發現漏洞之后隨機發布補丁,以便各大網站立即升級。
這一漏洞由日本研究人員菊池志(Masashi Kikuchi)發現,通過迫使電腦和服務器使用強度更低的密鑰,使得位于兩者之間的“中間人”得以進行解密并讀取數據。
據菊池志的雇主,軟件公司Lepidum發布的一份常見問題文本顯示,該缺陷允許惡意中間節點截取被加密的數據,并通過迫使SSL協議客戶端使用直接暴露的低強度密鑰,從而對其進行解密。業內人士對此解釋道,這就好比兩個人在建立安全連接,這時有攻擊者插入一條命令,讓兩人誤以為他們使用的仍然是“私人”密碼,而實際上這一密碼已經為攻擊者所知。
本次漏洞與Heartbleed并不相同,后者允許任何人直接攻擊任何使用OpenSSL協議的服務器,而使用本次漏洞的黑客則必須位于兩臺聯系的計算機之間。盡管如此,該漏洞還是存在巨大的隱患。比如用戶在使用公共網絡時,就很容易受到攻擊。
此外,本次漏洞還有另一大局限性,即只有連接的兩端都使用OpenSSL協議時,才可利用本漏洞進行數據破解。專家稱,大部分瀏覽器都使用其他SSL協議,所以并不會受到影響。不過,安卓設備以及許多VPN(虛擬專用網)使用的正是OpenSSL協議,尤其是后者,由于常常涉及敏感數據,因此很容易成為被攻擊的目標。
本次漏洞發現者菊池志的博文稱,早在1998年,OpenSSL開發之初,該漏洞就一直存在。菊池志指出,盡管OpenSSL協議被廣為使用,前不久的Heartbleed事件也引發人們對該協議安全性進行關注,但是OpenSSL代碼受到專業安全研究人員的檢測和維護程度還是遠遠不夠。如果能夠得到TLS/SSL領域專家的維護,這些漏洞可能早就被發現并修補。
有專家指出,在美國國家安全局前雇員斯諾登爆出“棱鏡門”事件一周年紀念日之際發現隱藏十幾年的安全漏洞,對于安全領域是一個頗具諷刺意味的嚴酷教訓。像OpenSSL這樣歷史悠久、使用范圍廣泛的安全協議可能仍然存在最基本的缺陷和漏洞,而僅有少數工程師利用不足的資源對這些協議進行維護,這對于整個互聯網界都是一種羞辱。
京公網安備 11010502049343號