當透過受保護的 HTTPS 連線訪問服務時,瀏覽器不會在驗證完網站的數字證書之前將資料傳遞給網路伺服器。
該方案可防止監控 / 篡改資料類的中間人攻擊,避免使用者被收集身份驗證 cookie、或在受害者的裝置上執行惡意軟體。
然而 Ars Technica 報道稱,近期曝出的一種駭客攻擊手段,表明攻擊者仍可誘使瀏覽器連線到使用相容證書的 Email / FTP 伺服器,進而引發相應的風險。
(來自:Alpace-Attack網站)
由於網站的域名與電子郵件或 FTP 伺服器證書中的域名匹配,因此瀏覽器通常會將傳輸層安全(TLS)連線到這些伺服器之一,而不是使用者原意訪問的網站。
在瀏覽器使用 HTTPS 通訊、而 Email / FTP 伺服器透過 SMTP / FTPS 或其它協議進行通訊時,就有可能遇到嚴重的錯誤。
比如將解密的身份驗證 cookie 傳送給了攻擊者、或在受害者機器上執行惡意程式碼。
雖然聽起來有些牽強,但一項新研究還是揭示了這套攻擊手段的可行性。
大約有 144 萬臺 Web 伺服器,使用了與同一組織的 Email / FTP 伺服器的加密憑據相容的域名。
其中約 11。4 萬個站點被認為易受攻擊,因為 Email / FTP 伺服器使用了已知存在缺陷的軟體。
作為被數以百萬計的伺服器所倚賴的網際網路安全基石,TLS 會對在終端使用者和伺服器之間傳輸的資料進行加密,以確保沒有人可以透過訪問連線來讀取或篡改。
風險示意(圖 viaArs Technica)
然而在週三發表的一篇研究論文中,Brinkmann 等七位研究人員還是深入調查了能否利用所謂的跨協議攻擊(cross-protocol attacks)來繞過 TLS 的防護。
可知問題在於傳輸層安全(TLS)並不保護 TCP 連線的完整性,而只保護使用 HTTP、SMTP、或它網際網路伺服器。
攻擊的主要組成部分是:
(1)目標終端使用者使用的客戶端應用程式 —— 此處指 C;
(2)目前打算訪問的伺服器 —— 簡稱 Sint;
(3)代理伺服器、一臺透過 SMTP / FTP / 或與 Serverint 使用不同協議連線的計算機、但其 TLS 證書中具有相同的域。
即使中間人(MitM)無法解密 TLS 流量,但攻擊者仍可達成其它目的 —— 比如強制目標瀏覽器連線到 Email / FTP 伺服器(而不是預期的 Web 伺服器)。
這可能導致瀏覽器向 FTP 伺服器傳送身份驗證 cookie,漏出跨站指令碼攻擊的缺陷,讓瀏覽器下載並執行託管在 Email / FTP 伺服器上的惡意 JavaScript 指令碼。
慶幸的是,被研究人員命名為“允許跨協議攻擊的應用層協議”(ALPACA)的缺陷,暫時不會對大多數人構成重大的威脅。
但若有新的攻擊途徑或漏洞顯現、或利用 TLS 來保護其它通訊方案,則風險仍有增加的可能。