8.26.2008

Google作SSL修正 其他網站悶不吭聲

一名資安研究員表示,他已經跟Google在討論他所打算釋出的一種攻擊程式(exploit),可讓駭客輕易攔截某人透過不安全Wi-Fi網路與據信安全無虞的網站通訊訊息。其他網站如Facebook、Yahoo Mail、Hotmail等,則仍有安全漏洞。
Riverbed Technology逆向軟體工程師與開發人員Mike Perry表示,早在一年前,他就在 BugTraq電子通訊郵遞名單上宣布,已發現一種與網站落實SSL (Secure Sockets Layer)協定有關的常見安全漏洞。SSL的用意在保護上網者的資料安全,但各大網站通常只在使用者登入(log-in)時,以SSL對通訊內容加密。
他指出,一般網站採用SSL有兩大問題。一種問題是,許多網站除了登入階段之外,並未使用 SSL,因此讓使用者的cookies曝露於險境,可能遭同在網路上的人竊取。去年Errata Security公司的Robert Graham已釋出鑽這種安全漏洞的exploit。
用來辨識機器是否已使用正確使用者名稱與密碼的「Session cookies」,有兩種模式:「安全」與「不安全」。Perry揭露的安全漏洞,矛頭指向有用SSL、但未把cookies標幟為「安全」的網站。他指出,這種安全漏洞會讓連上區域網路的駭客取得這些cookies,並用它們來冒名登入受害者的電郵帳戶、銀行帳戶以及其他服務。
這些網站一直未解決SSL問題,直到一個月前Google宣布,Gmail使用者可讓瀏覽器與Gmail伺服器之間的通訊自動加密,而不必在https://mail.google.com網站鍵入。
然而,Perry說,透過https://mail.google.com網站存取,並不會自動保持「安全」模式,cookies仍有可能被竊。
他表示,先前已接洽Hotmail、Yahoo Mail和Facebook的資安人員,告知他們的網站仍可能遭到所謂的「中間人攻擊」("man-in-the-middle attack"),也就是與受害人掛在同一個Wi-Fi網路的某人,可能劫持在受害者瀏覽器與網站之間傳輸的session cookies。截至上周五為止,他尚未收到這幾個網站的具體回應。
Perry計劃釋出他的exploit工具,據說可自動截奪這些cookies。他表示:「我的目的是要讓大家提高警覺,並設法敦促這些網站採用SSL,而且妥善地採用。」
不過,Perry表示,他決定先暫緩釋出這個工具,等跟Google討論以後再說。
Perry指出,Google是主要網站中,唯一讓使用者可選擇設定自動加密的一家,而且不只是把登入頁的通訊加密,還妥善地把cookies標幟為「安全」。
Google說,這項選擇不僅對使用Gmail的消費者提供,也對Google Apps的企業用戶提供,並涵蓋加值版的Google Apps,所以與Google Docs、Calendar等Google旗下網站的通訊都受到加密保護。
Perry說:「除了Google之外,其餘業者幾乎都不想花錢強化使用者安全性,而且持續漠視這個問題,就如他們過去一年來坐視不理的情況一般。」
此安全弱點影響到使用不安全無線網路的人士,但駭客必須與受害者同時掛在同一網路上才有可乘之機。話雖如此,若是與其他型態的攻擊結合,此問題仍可能影響其他類型的網路。Perry打算在他的部落格作進一步的說明。

沒有留言: