原标题:研究:DUHK漏洞可能让VPN及加密网页通讯内容曝光
示意图,与新闻事件无关。
宾州大学研究人员发现一个称为DUHK的漏洞,可让攻击者突破VPN的加密而导致通讯内容曝光。?宾州大学资讯科学系三位教授Shaanan△Cohney、Nadia△Heninger和 Matthew△Green发现并发表论文探讨。DUHK(Don’t△Use△Hard-coded△Keys)是一种影响发生在ANSI△X9.31 Random△Number△Generator△(RNG)加密技术的一种漏洞,ANSI△X9.31 RNG是一种乱数产生加密金钥以加密VPN连线及网页流量不被外部拦截的演算法。?DUHK攻击发生的另一条件在硬件厂商使用写死(hard-coded)的乱数种子金钥(seed△key)作为解密ANSI△X9.31 RNG的金钥。厂商一般是在装置启动时,或启动ANSI△X9.31演算法前产生乱数种子金钥。如果两者条件俱全,攻击者就可能解密由使用ANSI△X9.31演算法的软硬件产生、或流经这些装置的VPN或加密网页流量,进而存取用户的登入帐密、银行帐号、信用卡号码、或是公司的机密资料等。?ANSI△X9.31运用十分普及,且美国政府采购案中必要的“美国联邦资讯处理标准”(Federal△Information△Processing△Standards,FIPS) 直到2016年1月以前的版本也采用了本演算法,这表示美国政府单位使用的设备也可能受到影响。?研究人员发现,知名网络设备业者Fortinet早期版本作业系统FortiOS△4.3.0到4.3.18版的产品可能遭到攻击者借由观察加密的交握流量,取得金钥而解密VPN通讯。此外,他们的论文还列出Cisco△Aironet△7.2.115.2版等11款使用了写死的X9.31 RNG种子金钥的FIPS认证产品。?研究人员表示,是否有针对ANSI△X9.31 RNG发展出的后门程式不得而知,但呼吁开发人员及厂商应及早停止使用X9.31乱数产生器而升级到较新版本。2016年1月以后的FIPS标准则已移除了该演算法,因此符合最新标准的产品应无需担心。如果必须使用区块式RNG加密法,应避免使用写死的金钥,且应经常更新。至于一般消费者、企业或政府单位用户则应定期更新产品软件到最新版。
?
相关:
华尔街日报于本周报道,中国联通在Apple△Watch△3于中国上市一周后,移除了Apple△Watch△3最受瞩目的行动通讯(Cellular)能力。苹果在今年9月发表了Apple△Watch△3,这是首款内建e-SIM(embedded△SIM)并具备行
人人都能当奖金猎人,Google请你帮安卓App抓漏洞,奖金最高1,000美元
为了加强Google△Play的app安全品质,Google将祭出奖金广邀安全研究人员帮忙从特定Android△app中找出并修补漏洞。Google和抓虫赏金方案平台HackerOne合作共同推出Google△Play安全奖励方案(Google△Play△Security
微软以牙还牙揭露Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。 微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安
微软以牙还牙抓出Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。 微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安
Chrome 62正式版出炉,所有填写资料的HTTP网页将被视为不安全
Chrome△62会将所有填写资料的HTTP网页标示为不安全。 图片来源: Google Google于本周二(10/17)释出Chrome△62正式版,将于这几天通过自动更新升级Windows、Mac与Linux装置上的Chrome浏览器。Chrome△62修补了35