手機(jī)干凈、網(wǎng)站安全、網(wǎng)絡(luò)加密，受攻擊方是資深網(wǎng)絡(luò)安全專業(yè)人士，為何密碼分分鐘內(nèi)就丟了？

10月24日，在上海舉行的極棒（GeekPwn）2019國際安全極客大賽上，清華-奇安信網(wǎng)絡(luò)安全聯(lián)合研究中心組成的參賽隊(duì)伍（TQL）成功將同一局域網(wǎng)內(nèi)的 HTTPS 網(wǎng)站二維碼劫持，并劫持郵箱獲取郵箱密碼。幾位選手甚至在評委喊比賽開始幾秒內(nèi)就完成了挑戰(zhàn)，而更令人驚訝的是，這竟然是一種無法被受害者察覺的攻擊。

憑借“最熟悉的陌生人：一種新型的HTTPS劫持技術(shù)”項(xiàng)目，清華-奇安信聯(lián)合團(tuán)隊(duì)成功斬獲本次大賽第一名，并且再次入選 GeekPwn 名人堂。

清華-奇安信聯(lián)合研究中心參賽隊(duì)員

據(jù)隊(duì)員介紹，本次參賽隊(duì)伍（TQL）成員來自奇安信集團(tuán)技術(shù)研究院以及清華大學(xué)，他們將團(tuán)隊(duì)最新的研究成果帶到比賽現(xiàn)場，演示了利用基礎(chǔ)協(xié)議缺陷實(shí)施的一種新型的HTTPS加密流量劫持攻擊，在裁判和現(xiàn)場觀眾的見證下，成功劫持了HTTPS環(huán)境下APP下載二維碼和企業(yè)郵箱登錄過程。

據(jù)了解，HTTPS協(xié)議是互聯(lián)網(wǎng)最為重要的基礎(chǔ)協(xié)議之一，甚至可以說HTTPS協(xié)議是支撐著互聯(lián)網(wǎng)安全網(wǎng)絡(luò)通信的基礎(chǔ)，因此其安全問題長期以來備受學(xué)術(shù)界和工業(yè)界的關(guān)注。清華-奇安信安全聯(lián)合研究中心長期致力于HTTPS、DNS 等互聯(lián)網(wǎng)基礎(chǔ)協(xié)議安全的研究，本次披露的HTTPS相關(guān)基礎(chǔ)協(xié)議缺陷，已確認(rèn)影響到國內(nèi)外眾多知名廠商。

清華-奇安信聯(lián)合研究中心參賽隊(duì)員獲獎分享

據(jù)參賽隊(duì)員介紹，與傳統(tǒng)的HTTPS劫持攻擊原理不同，本次披露的劫持技術(shù)無需HTTP明文協(xié)議的配合即可攻擊，即使用戶訪問的目標(biāo)網(wǎng)站部署了HTTPS的最佳實(shí)踐措施，攻擊者仍然可以劫持篡改用戶與網(wǎng)站之間的加密通信，可導(dǎo)致網(wǎng)站支付劫持、下載文件替換等嚴(yán)重的后果。

據(jù)悉，清華-奇安信安全聯(lián)合研究中心與極棒組委會已啟動“漏洞負(fù)責(zé)任披露”流程，積極協(xié)助廠商修復(fù)相關(guān)缺陷、避免實(shí)際危害發(fā)生。同時，相關(guān)安全缺陷的檢測防御方案已經(jīng)部署到奇安信的安全解決方案及產(chǎn)品當(dāng)中，能夠幫助客戶抵御HTTPS相關(guān)攻擊威脅。

清華-奇安信安全聯(lián)合研究中心是清華大學(xué)網(wǎng)絡(luò)研究院和奇安信集團(tuán)共同成立的聯(lián)合研究機(jī)構(gòu)，結(jié)合清華大學(xué)和奇安信集團(tuán)在學(xué)術(shù)研究和產(chǎn)業(yè)服務(wù)中的優(yōu)勢，面向世界學(xué)術(shù)和技術(shù)前沿開展研究，服務(wù)于國家和社會對網(wǎng)絡(luò)空間安全的戰(zhàn)略需求。研究團(tuán)隊(duì)在網(wǎng)絡(luò)和系統(tǒng)安全攻防領(lǐng)域有豐富的經(jīng)驗(yàn)，團(tuán)隊(duì)在國際四大頂級安全會議中發(fā)表多篇論文，在世界學(xué)術(shù)和工業(yè)界有廣泛的影響力，曾多次披露DNS、HTTPS、CDN等互聯(lián)網(wǎng)基礎(chǔ)協(xié)議、基礎(chǔ)設(shè)施的安全缺陷。此次參賽也是該團(tuán)隊(duì)繼2015年披露“HTTPS未知協(xié)議漏洞”、2018年披露“通用協(xié)議缺陷導(dǎo)致DNS緩存污染攻擊”后再一次斬獲極棒大獎。

標(biāo)簽： GeekPwn2019 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。