Let's Encrypt 颁发的免费 HTTPS 证书已遭黑客利用
| 2016-01-08 14:28
自打数字证书认证机构(CA)Let’s Encrypt 开启 beta 测试,为公众提供免费 HTTPS 证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域名来部署他们的恶意软件。
12月份时,安全公司趋势科技发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了 Angler Exploit Kit——它会下载银行木马,自动感染 Windows 设备。这种木马可让黑客在用户不知情的情况下远程访问系统。
该公司表示,这种恶意广告服务器采用一种名为 domain shadowing 的技术,攻击者可诱导用户至已受控制的服务器,使用来自 Let's Encrypt 的安全证书保护的子域以掩饰他们的行为。
按照趋势科技的观察,黑客们会搞个广告,看起来是链接至合法域名的。趋势科技表示,这可能是因为 Let's Encrypt 在颁发证书之前仅靠谷歌的安全浏览 API 核查该域是否有问题。这无法阻止黑客获取证书,以及在合法站点的保护下创建带恶意软件的子域名。
趋势科技的报告表明,Let's Encrypt 的服务存在潜在安全问题,并呼吁该组织在发现证书被滥用之后就收回。