更新:“咱們加密吧”的回應是,此為不可避免的。
趨勢科技(Trend Micro)稱發現騙子濫用免費的“咱們加密吧”加密認證系統,将惡意軟體弄到電腦上。
安全欺詐研究人士Joseph Chen去年12月21日發現一些異常活動,日本的一些網友通路過一個網站後就會通過加密HTTPS提供惡意軟體。該網站利用釣魚工具包(Angler Exploit Kit)感染網友的機器與軟體,其目的是奇襲他們的網上銀行賬戶。
由于使用了加密,惡意軟體在傳輸過程中可以避開網絡安全的掃描,而證書則有助于惡意站點的合法化。
為了得到他們的 “咱們加密吧”(Let's Encrypt)證書,攻擊者攻陷了一個未透露站名的網站伺服器,并建立了自己的伺服器網站子域名及擷取了該子域的HTTPS證書。
趨勢科技發現的“咱們加密吧”證書
Chen今天解釋,犯罪分子用了子域來承載誘殺廣告,使其看起來像是來自合法的主網站。廣告中還含有抗防病毒代碼。
Chen對“咱們加密吧”的政政策有微言,“咱們加密吧”奉行所謂 “非内容過濾器”政策。Chen表示,CA(證書認證機構)應在阻止這樣的攻擊時發揮作用,CA僅僅檢查谷歌的安全浏覽API證書是不夠的。他覺得應該存在機制防止未經授權證書的注冊。
記者仍在等“咱們加密吧”的回應。
原文釋出時間為:2016-01-07
本文作者:楊昀煦
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。