更新:“咱們加密吧”的回應是,此為不可避免的。
趨勢科技(TrendMicro)稱(chēng)發(fā)現騙子濫用免費的“咱們加密吧”加密認證系統,將惡意軟件弄到電腦上。
安全欺詐研究人士JosephChen去年12月21日發(fā)現一些異常活動(dòng),日本的一些網(wǎng)友訪(fǎng)問(wèn)過(guò)一個(gè)網(wǎng)站后就會(huì )通過(guò)加密HTTPS提供惡意軟件。該網(wǎng)站利用釣魚(yú)工具包(AnglerExploitKit)感染網(wǎng)友的機器與軟件,其目的是奇襲他們的網(wǎng)上銀行賬戶(hù)。
由于使用了加密,惡意軟件在傳輸過(guò)程中可以避開(kāi)網(wǎng)絡(luò )安全的掃描,而證書(shū)則有助于惡意站點(diǎn)的合法化。
為了得到他們的“咱們加密吧”(Let'sEncrypt)證書(shū),攻擊者攻陷了一個(gè)未透露站名的網(wǎng)站服務(wù)器,并創(chuàng )建了自己的服務(wù)器網(wǎng)站子域名及獲取了該子域的HTTPS證書(shū)。
趨勢科技發(fā)現的“咱們加密吧”證書(shū)
Chen今天解釋?zhuān)缸锓肿佑昧俗佑騺?lái)承載誘殺廣告,使其看起來(lái)像是來(lái)自合法的主網(wǎng)站。廣告中還含有抗防病毒代碼。
Chen對“咱們加密吧”的政策略有微言,“咱們加密吧”奉行所謂“非內容過(guò)濾器”政策。Chen表示,CA(證書(shū)認證機構)應在阻止這樣的攻擊時(shí)發(fā)揮作用,CA僅僅檢查谷歌的安全瀏覽API證書(shū)是不夠的。他覺(jué)得應該存在機制防止未經(jīng)授權證書(shū)的注冊。
記者仍在等“咱們加密吧”的回應。
