正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
车与出行
年轻一代
十亿消费者
前沿科技
财经
娱乐淘金
医疗健康
文化教育
出海
金融地产
企业服务
创业维艰
社交通讯
全球热点
生活腔调
榜单
虎嗅视界
24小时
活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
新能源汽车
求职
大模型
投资赛道
美国
美国就业
广告
长三角
抖音
账号或密码错误
2014-10-25 14:45
连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
虎嗅
10月24日和25日,虎嗅君参加了GeekPwn(极棒)安全极客嘉年华活动。
嗯...说是嘉年华,其实就是一场智能设备破解Show。对于虎嗅君这样不搞技术的媒体同学,也就只能当一场Show看了。对于真正的安全极客们来说,GeekPwn(极棒)是一场智能设备破解挑战赛。当虎嗅君正在观看智能硬件破解Show的时候,来自世界各地的顶尖极客们正在Pwn(破解)掉手中的智能设备。
作为最为普及的智能设备,智能手机是极客们的首要目标。先是曾经三获世界顶级黑客赛事Pwn2Own冠军的Keen Team利用芯片级的高危漏洞设计的App,实现了在Android手机关机的情况下通过麦克风和摄像头窃听监视手机用户,随后世界顶尖iOS越狱团队盘古团队全球第一个实现了iOS8的越狱。而今年最火的特斯拉智能电动汽车也成为极客们的目标。利用Keen Team和V2S团队发现安全漏洞,即使是普通人也可以通过浏览器远程操控特斯拉智能电动汽车。
最令虎嗅君吃惊的是,来自清华大学的段海新教授发现了HTTPS(超文本传输安全协议)设计上的漏洞。段海新教授演示了三种利用这一漏洞的方法:第一种,在Gmail中伪装Gtalk好友。攻击者可以伪装成用户的Gtalk好友给用户发送借款信息。第二种,在中国银联中窃取用户绑定的银行卡。当用户在自己的银联账号里绑定银行卡时,攻击者可以让用户要绑定的银行卡绑定到攻击者的银联账号里,而用户完成银行卡绑定操作后,用户的银联账号里并没有绑定的银行卡。第三种,在支付宝中窃取用户网购时的付款。当用户在网上购物后付款时,攻击者可以让用户的付款转移到攻击者的支付宝账号中,而用户完成付款操作后,网上购物的付款并没有成功。
这三种方法的实现条件是用户在公开网络下使用非加密的方式访问过普通网站。也就是说,用户只要有一次与攻击者共处在同一网络中,并且通过非加密的方式访问过普通网站,之后即使攻击者和用户不在同一网络中,攻击者也能完成攻击。
事实上,在此之前,微博上曾经就HTTPS是否安全掀起过一场“撕逼”大战。起因是央视认为免费WiFi非常的不安全,黑客可以轻易的通过免费WiFi窃取到用户的密码。央视警告用户不要使用免费WiFi登陆网银或支付宝。而@奥卡姆剃刀认为央视在传播错误的观点。他认为WiFi只是通道而已,网银和支付宝都使用了HTTPS,即所有数据的传输都经过加密的,黑客不可能通过WiFi窃取到密码。
@奥卡姆剃刀的观点引发了众多安全界顶尖极客的反驳,极客们认为HTTPS本身没有问题,但是网银对HTTPS的实现是有漏洞的。因为银行的程序员在编写网银程序时没有严格遵守HTTPS,所以攻击者可以通过伪造证书的方式进行中间人劫持攻击,从而窃取到用户的网银密码。
现在,段海新教授发现的HTTPS的漏洞,使得被安全界公认安全的HTTPS也不再安全。在段海新教授的演示中,全程使用了HTTPS,但是依然没有阻止攻击。段海新教授表示这不是HTTPS实现上的漏洞,而是HTTPS本身的设计有漏洞。从这一点上来说,这一次段海新教授发现的漏洞的危害性要高于“心脏出血”漏洞,毕竟后者只是OpenSSL在实现SSL过程中产生的漏洞,而不是SSL本身设计有漏洞。
那么,连HTTPS都有漏洞,这么不安全的互联网我们还要继续用吗?
事实上,互联网自诞生以来就没有安全过。
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
这次微软才是“人类希望”,它让你不用再记密码了
爱范儿
04:32
#5分钟科普
都2022年了,用公共WiFi上网还是不安全吗?
WhatOnEarth一探究竟
用完AirDrop不关?黑客表示控制你的iPhone更容易了呢
爱范儿
苹果、谷歌、微软联手,你再也不用记密码了?
ZEALER©
史上最怂黑客?只勒索到五块钱,最后主动提交密钥
大数据文摘
原来美剧《硅谷》里藏着这么多知识点
量子位
为了你,苹果准备跟一个行业对着干
张博文
10:17
#小行业大作为
为了消灭密码,人类都做了些什么?
量子位
ChatGPT,犯罪分子用了都说好?
CSDN©
53万个账号遭黑客公开叫卖,Zoom你怎么看?
量子位
07:48
#科技树点歪了
互联网安全进化论:生物识别凭什么消灭密码?
虎学研究
为了证明Windows 11有多安全,微软“黑”掉了自家电脑
爱范儿
安卓手机变卡的罪魁祸首,竟是这些“常用”软件
ZEALER©
08:17
你的隐私,是怎么被手机扒光的
张博文
08:17
#内幕大揭秘
我要经历多少黑客套路才能快乐上网?
知未科技
06:48
#AI有多智能
隐私保护的终点是自发上传“果照”?
ECO新势
09:59
#敲黑板划重点
形式多样的验证码,你了解多少?
科技狐
08:40
#苹果又来了
“壁垒森严”的苹果能保护隐私安全吗?
馒头De爸爸
07:08
#盘一盘APP
WiFi万能钥匙,为何会落寞成今天这样?
科技狐
21:24
习惯通用一个账号密码?你的隐私信息可能已经暴露了
造就Talk
大 家 都 在 搜
新能源汽车
求职
大模型
投资赛道
美国
美国就业
广告
长三角
抖音
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付