本篇文章1679字,读完约4分钟
作为最受欢迎的智能设备,智能手机是极客们的首要目标。起初,曾三次在世界顶级黑客大赛中获得pwn2own冠军的基恩团队,利用芯片级高风险漏洞设计的应用程序,在安卓手机关机时,通过麦克风和摄像头窃听和监控手机用户。随后,世界顶尖的ios越狱团队盘古团队成为世界上第一个越狱ios8的团队。今年最热门的特斯拉智能电动车也成为极客的目标。通过敏锐团队和v2s团队发现安全漏洞,普通人也可以通过浏览器远程控制特斯拉智能电动车。
最让虎嗅君吃惊的是,清华大学的段海鑫教授发现了https(超文本传输安全协议)设计中的一个漏洞。段海鑫教授展示了利用这个漏洞的三种方法:第一,在gmail中伪装朋友。攻击者可以将贷款信息伪装成用户的gtalk好友发送给用户。第二,盗取中国银联用户绑定的银行卡。当用户在其银联账户中绑定银行卡时,攻击者可以将用户想要绑定的银行卡绑定到攻击者的银联账户,但是在用户完成银行卡绑定操作后,用户的银联账户中没有绑定的银行卡。第三,盗取支付宝网购支付。当用户在网上购物后付款时,攻击者可以将用户的付款转移到攻击者的支付宝账户,但在用户完成付款操作后,网上购物付款不成功。
这三种方法的实现条件是用户在开放网络下以未加密的方式访问了普通网站。也就是说,即使攻击者和用户不在同一个网络中,只要用户曾经和攻击者在同一个网络中,并且以未加密的方式访问过普通网站,攻击者也可以完成攻击。
事实上,在此之前,微博上有一场关于https是否安全的“撕裂”战。原因是央视认为免费wifi非常不安全,黑客可以通过免费wifi轻易窃取用户密码。央视警告用户不要使用免费无线网络登录网上银行或支付宝。@奥卡姆·雷泽认为中央电视台在传播错误的观点。他认为wifi只是一个渠道,网上银行和支付宝都使用https,也就是说,所有的数据传输都是加密的,黑客不能通过wifi窃取密码。
@奥卡姆剃刀的观点引起了许多顶级安全极客的反驳。极客们认为https本身没有问题,但网上银行在实施https方面存在漏洞。由于银行程序员在编写网银程序时没有严格遵守https,攻击者可以通过伪造证书进行中间人劫持攻击,从而窃取用户的网银密码。
现在,段海鑫教授发现的https漏洞使得被安全界公认为安全的https不再安全。在段海鑫教授的演示中,整个过程都使用了https,但攻击仍然没有停止。段海鑫教授说,这不是https实现上的漏洞,而是https本身设计上的漏洞。从这个角度来看,段海鑫教授这次发现的漏洞比“心脏出血”的漏洞危害更大。毕竟,后者只是openssl在实现ssl的过程中产生的一个漏洞,而不是ssl设计中的一个漏洞。
那么,即使https也有漏洞,那么我们应该继续使用这种不安全的互联网吗?
事实上,互联网从诞生之日起就一直不安全。添加语料库
三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....
当前流行度:0
[娇娇]http://itougu.jrj/view/189514.j.....
当前流行度:0
1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??要坚强,要坚强。.....
当前流行度:0
你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........
当前流行度:0
缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......
当前流行度:0
那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....
当前流行度:1
你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....
当前流行度:0
咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....
当前流行度:0