今年 4 月 8 日,OpenSSL 曾曝出严重的安全漏洞「心脏出血」。它使攻击者能够从内存中读取多达 64 KB 的数据,从而可以实时获取到以 https 开头网址的用户的重要信息,包括登录账号和密码等。
如今「心脏出血」还未被完全修复,又出现了新的漏洞。本周 OpenSSL 紧急通知用户,发现一个名为「中间人攻击」(man-in-the-middle attack) 的漏洞,黑客可以利用这一漏洞截获并读取用户隐私信息。
「中间人攻击」是指攻击者与通讯两端分别建立独立的联系,并交换其所收到的数据。通讯的两端认为他们正在通过私密连接与对方直接对话,但事实上整个会话都在攻击者的控制之下。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
当受到中间人攻击时,用户发送的信息将会被截获,包括网站登录密码,网银支付密码,电子邮件和聊天记录等重要信息。而受到攻击最可能的场景就是通讯两端都在使用公共 Wifi。
OpenSSL 是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及 SSL 协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等网站上广泛使用,因此这一漏洞后果十分严重。「中间人攻击」并不是新出现的漏洞,它在 1998 年就已经存在,比 2011 年出现的「心脏出血」早了十多年。 |
