职业IT人-IT人生活圈

 找回密码
 成为会员
搜索
查看: 616|回复: 0

Freak漏洞攻击曝光 普通网民受影响不大

[复制链接]
qtmbmr 发表于 2015-3-5 19:43 | 显示全部楼层 |阅读模式
  根据360网络攻防实验室发布的漏洞预警,一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及谷歌安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,黑客可利用漏洞以“中间人攻击”方式截获加密通讯内容。
  
  

  利用这些漏洞的攻击被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称,当时NSA试图覆盖可被出口至其他国家的软件的加密强度,强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。
  当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者可以利用公有云服务破解512位的短密钥。
  360网络攻防实验室安全专家安扬介绍说,攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
  不过广大网民不必恐慌,“中间人攻击”往往需要在同一个局域网内进行,黑客攻击有一定局限性;而且512位密匙的破解成本高、时间长。即便利用利用亚马逊弹性计算云,仍需要大约7小时,花费100美元才能破解。普通网民一般不会受到此漏洞攻击的影响。
  尽管如此,受到Freak漏洞攻击影响的网站还是应该及时进行安全更新。目前,苹果和谷歌也已经计划向iOS/OS X、安卓的用户推送系统补丁,从而彻底消除此漏洞隐患。
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

QQ|手机版|小黑屋|网站帮助|职业IT人-IT人生活圈 ( 粤ICP备12053935号-1 )|网站地图
本站文章版权归原发布者及原出处所有。内容为作者个人观点,并不代表本站赞同其观点和对其真实性负责,本站只提供参考并不构成任何投资及应用建议。本站是信息平台,网站上部分文章为转载,并不用于任何商业目的,我们已经尽可能的对作者和来源进行了通告,但是能力有限或疏忽造成漏登,请及时联系我们,我们将根据著作权人的要求立即更正或者删除有关内容。

GMT+8, 2024-3-19 17:53 , Processed in 0.124248 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表