手机干净、网站安全、网络加密,受攻击方是资深网络安全专业人士,为何密码分分钟内就丢了?
10月24日,在上海举行的极棒(GeekPwn)2019国际安全极客大赛上,清华-奇安信网络安全联合研究中心组成的参赛队伍(TQL)成功将同一局域网内的 HTTPS 网站二维码劫持,并劫持邮箱获取邮箱密码。几位选手甚至在评委喊比赛开始几秒内就完成了挑战,而更令人惊讶的是,这竟然是一种无法被受害者察觉的攻击。
凭借“最熟悉的陌生人:一种新型的HTTPS劫持技术”项目,清华-奇安信联合团队成功斩获本次大赛第一名,并且再次入选 GeekPwn 名人堂。
清华-奇安信联合研究中心参赛队员
据队员介绍,本次参赛队伍(TQL)成员来自奇安信集团技术研究院以及清华大学,他们将团队最新的研究成果带到比赛现场,演示了利用基础协议缺陷实施的一种新型的HTTPS加密流量劫持攻击,在裁判和现场观众的见证下,成功劫持了HTTPS环境下APP下载二维码和企业邮箱登录过程。
据了解,HTTPS协议是互联网最为重要的基础协议之一,甚至可以说HTTPS协议是支撑着互联网安全网络通信的基础,因此其安全问题长期以来备受学术界和工业界的关注。清华-奇安信安全联合研究中心长期致力于HTTPS、DNS 等互联网基础协议安全的研究,本次披露的HTTPS相关基础协议缺陷,已确认影响到国内外众多知名厂商。
清华-奇安信联合研究中心参赛队员获奖分享
据参赛队员介绍,与传统的HTTPS劫持攻击原理不同,本次披露的劫持技术无需HTTP明文协议的配合即可攻击,即使用户访问的目标网站部署了HTTPS的最佳实践措施,攻击者仍然可以劫持篡改用户与网站之间的加密通信,可导致网站支付劫持、下载文件替换等严重的后果。
据悉,清华-奇安信安全联合研究中心与极棒组委会已启动“漏洞负责任披露”流程,积极协助厂商修复相关缺陷、避免实际危害发生。同时,相关安全缺陷的检测防御方案已经部署到奇安信的安全解决方案及产品当中,能够帮助客户抵御HTTPS相关攻击威胁。
清华-奇安信安全联合研究中心是清华大学网络研究院和奇安信集团共同成立的联合研究机构,结合清华大学和奇安信集团在学术研究和产业服务中的优势,面向世界学术和技术前沿开展研究,服务于国家和社会对网络空间安全的战略需求。研究团队在网络和系统安全攻防领域有丰富的经验,团队在国际四大顶级安全会议中发表多篇论文,在世界学术和工业界有广泛的影响力,曾多次披露DNS、HTTPS、CDN等互联网基础协议、基础设施的安全缺陷。此次参赛也是该团队继2015年披露“HTTPS未知协议漏洞”、2018年披露“通用协议缺陷导致DNS缓存污染攻击”后再一次斩获极棒大奖。
