❏ 站外平台:

Let's Encrypt 颁发的免费 HTTPS 证书已遭黑客利用

| 2016-01-08 14:28      

自打数字证书认证机构(CA)Let’s Encrypt 开启 beta 测试,为公众提供免费 HTTPS 证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域名来部署他们的恶意软件。

12月份时,安全公司趋势科技发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了 Angler Exploit Kit——它会下载银行木马,自动感染 Windows 设备。这种木马可让黑客在用户不知情的情况下远程访问系统。

该公司表示,这种恶意广告服务器采用一种名为 domain shadowing 的技术,攻击者可诱导用户至已受控制的服务器,使用来自 Let's Encrypt 的安全证书保护的子域以掩饰他们的行为。

按照趋势科技的观察,黑客们会搞个广告,看起来是链接至合法域名的。趋势科技表示,这可能是因为 Let's Encrypt 在颁发证书之前仅靠谷歌的安全浏览 API 核查该域是否有问题。这无法阻止黑客获取证书,以及在合法站点的保护下创建带恶意软件的子域名。

趋势科技的报告表明,Let's Encrypt 的服务存在潜在安全问题,并呼吁该组织在发现证书被滥用之后就收回。



最新评论


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。