據(jù)美國《連線》雜志6月5日報道,今年4月爆出的“心臟出血”(Heartbleed)漏洞至今依然令整個互聯(lián)網(wǎng)界心有余悸,可是如今OpenSSL安全協(xié)議又爆出另一項重大漏洞,據(jù)悉這項漏洞已經(jīng)潛伏十六年之久。
OpenSSL基金會近期發(fā)布一項建議性警告,希望用戶再次對所使用的SSL安全協(xié)議進行升級,以修復一項此前從未發(fā)現(xiàn)的漏洞。據(jù)悉,該漏洞已經(jīng)存在了十六年,能夠允許任何黑客破解加密層竊取數(shù)據(jù)。由于OpenSSL安全協(xié)議在全球廣泛使用,因此該基金會發(fā)現(xiàn)漏洞之后隨機發(fā)布補丁,以便各大網(wǎng)站立即升級。
這一漏洞由日本研究人員菊池志(Masashi Kikuchi)發(fā)現(xiàn),通過迫使電腦和服務器使用強度更低的密鑰,使得位于兩者之間的“中間人”得以進行解密并讀取數(shù)據(jù)。
據(jù)菊池志的雇主,軟件公司Lepidum發(fā)布的一份常見問題文本顯示,該缺陷允許惡意中間節(jié)點截取被加密的數(shù)據(jù),并通過迫使SSL協(xié)議客戶端使用直接暴露的低強度密鑰,從而對其進行解密。業(yè)內人士對此解釋道,這就好比兩個人在建立安全連接,這時有攻擊者插入一條命令,讓兩人誤以為他們使用的仍然是“私人”密碼,而實際上這一密碼已經(jīng)為攻擊者所知。
本次漏洞與Heartbleed并不相同,后者允許任何人直接攻擊任何使用OpenSSL協(xié)議的服務器,而使用本次漏洞的黑客則必須位于兩臺聯(lián)系的計算機之間。盡管如此,該漏洞還是存在巨大的隱患。比如用戶在使用公共網(wǎng)絡時,就很容易受到攻擊。
此外,本次漏洞還有另一大局限性,即只有連接的兩端都使用OpenSSL協(xié)議時,才可利用本漏洞進行數(shù)據(jù)破解。專家稱,大部分瀏覽器都使用其他SSL協(xié)議,所以并不會受到影響。不過,安卓設備以及許多VPN(虛擬專用網(wǎng))使用的正是OpenSSL協(xié)議,尤其是后者,由于常常涉及敏感數(shù)據(jù),因此很容易成為被攻擊的目標。
本次漏洞發(fā)現(xiàn)者菊池志的博文稱,早在1998年,OpenSSL開發(fā)之初,該漏洞就一直存在。菊池志指出,盡管OpenSSL協(xié)議被廣為使用,前不久的Heartbleed事件也引發(fā)人們對該協(xié)議安全性進行關注,但是OpenSSL代碼受到專業(yè)安全研究人員的檢測和維護程度還是遠遠不夠。如果能夠得到TLS/SSL領域專家的維護,這些漏洞可能早就被發(fā)現(xiàn)并修補。
有專家指出,在美國國家安全局前雇員斯諾登爆出“棱鏡門”事件一周年紀念日之際發(fā)現(xiàn)隱藏十幾年的安全漏洞,對于安全領域是一個頗具諷刺意味的嚴酷教訓。像OpenSSL這樣歷史悠久、使用范圍廣泛的安全協(xié)議可能仍然存在最基本的缺陷和漏洞,而僅有少數(shù)工程師利用不足的資源對這些協(xié)議進行維護,這對于整個互聯(lián)網(wǎng)界都是一種羞辱。