欢迎光临KOTOO财情




加密等于虚设,SSL、TLS 有存在 13 年的大漏洞

2024-11-27 220

SSL 与 TLS 多年来被业界沿用为数据传输中的加密标准,但日前就有资安人员揭露指,原来上述两种加密方式依然存在着根本上的漏洞,被发现的漏洞更出现长达 13 年之久,用户敏感资料完全没保障。

首款只需被动式监听攻击方式

资安机构 Imperva 的研究人员 Itsik Mantin 于较早前在新加坡举办的黑帽会议上发表其研究报告“Attacking SSL when using RC4”。被 Mantin 发现的漏洞主要针对 RC4(Rivest Cipher 4)加密方式的 SSL 与 TLS 服务,而现时仍有约 30% 的串流加密方式采用以 RC4 作为技术基础的 TLS 作通路。

据报告指,针对此漏洞而衍生、名为“Bar-Mitzvah”的攻击方式甚至可省去中间人攻击(man-in-the-middle attack,MITM)的工夫,骇客只需要以合适的攻击手法就可以得到于 SSL / TLS 加密通路上传输的资料:当中包括如用户凭证、信用卡资料、账户密码等敏感资料,加密形同虚设。

Mantin 续指,Bar Mitzvah 为现时首款毋须 MITM 攻击、只需被动式监听或窃听就可针对 SSL / TLS 具实际应用的攻击方式。

而在等待相关 SSL / TLS 的修补档案推出的同时,网络应用管理人员亦应先将停用辖下应用中 TLS 设置的 RC4 功能;而用户亦可先将浏览器中 RC4 及相关功能暂时停用,以避免因上述漏洞而将自己的敏感资料奉送骇客。

  • 13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text

(本文由 Unwire Pro 授权转载)

2019-03-31 21:30:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 资讯头条
0