在HTTPS中檢測到大量漏洞

根據(jù)研究，令人震驚的網(wǎng)絡(luò)頂級HTTPS站點(diǎn)有可利用的TLS漏洞。TLS代表傳輸層安全性，它是一種Web瀏覽器防御，可以對瀏覽器與其通信的Web服務(wù)器之間的數(shù)據(jù)進(jìn)行加密，以保護(hù)您的旅行計劃，密碼和搜索歷史記錄。這是通過Web瀏覽器搜索欄開頭的綠色掛鎖來表示的。

然而，根據(jù)Ca'Foscari大學(xué)和奧地利Tu Wien的研究團(tuán)隊的數(shù)據(jù)，令人驚訝的加密網(wǎng)站數(shù)量仍然暴露出來。這些團(tuán)隊分析了亞馬遜Alexa分析公司排名的網(wǎng)站前10,000個HTTPs網(wǎng)站，發(fā)現(xiàn)5.5%的網(wǎng)站存在潛在可利用的TLS漏洞。

這些問題是由每個站點(diǎn)實現(xiàn)TLS加密方案的方式和未能修補(bǔ)已知錯誤的問題組合而引起的。但最令人不安的是，它們足夠小，綠色掛鎖仍會出現(xiàn)。

“我們在論文中假設(shè)瀏覽器是最新的，但我們發(fā)現(xiàn)的東西并沒有被瀏覽器發(fā)現(xiàn)，”Ca'Foscari大學(xué)網(wǎng)絡(luò)安全和密碼學(xué)研究員Riccardo Focardi說。“這些都是未修復(fù)的問題，甚至沒有被發(fā)現(xiàn)。我們希望通過用戶方尚未指出的網(wǎng)站TLS來識別這些問題。”

Focardi和他的研究人員將在5月的IEEE安全和隱私研討會上展示他們的全部發(fā)現(xiàn)。他們開發(fā)了TLS分析技術(shù)，并使用現(xiàn)有的加密文獻(xiàn)中的一些技術(shù)來抓取和審查前10,000個站點(diǎn)的TLS問題。

研究人員在5,574臺主機(jī)中發(fā)現(xiàn)了TLS漏洞并將其分解為4,818，易受MITM攻擊，733對完全解密，912對部分解密。MITM代表“中間人”攻擊，受害者與另一個站點(diǎn)的通信被第三方攔截，中間有人攔截。

另外兩個類別涉及瀏覽器和Web服務(wù)器之間更加嚴(yán)重的加密通道，使黑客能夠解密通過它們的所有流量。這些最糟糕的變化是“受污染”的頻道，它允許黑客不僅解密流量而且還修改和/或操縱它。