当前位置:首页 > 攻略

【卡巴斯基key生成助手】卡巴斯基反病毒产品现漏洞 可被中间人攻击

研究者发现,基于脆弱的32位签名的证书认证机制很容易受到不同网站上相同签名冲突的影响。

卡巴斯基实验室近期更新了反病毒产品,本次更新修补了致使用户易受流量劫持的漏洞。

谷歌的漏洞研究员塔维斯·奥尔曼迪最早发现这一漏洞,该漏洞存在于卡巴斯基杀毒软件用来检测加密链接内的潜在威胁时所用的SSL/TLS流量检测功能里。

和其他终端安全产品一样,卡巴斯基会在电脑上安装一个自签名的CA根证书,并用它延伸出的“叶”证书进行拦截访问,从而对用户访问的所有https可用的站点授予证书。这允许杀毒软件对本地浏览器和远程服务器之间的链接进行加/解密操作。

奥尔曼迪发现,每当卡巴斯基的反病毒产品生成一个拦截证书时,它会基于网站提供的原始证书序列号生成一个32位的密钥并缓存这一对应关系。而这一机制使得当用户再次访问同一网站时,杀毒软件会使用缓存的叶证书而不是再次生成新的证书。

但问题在于,这个32位的密钥十分脆弱,攻击者能通过碰撞而轻易伪造出一个匹配密钥的假证书。

奥尔曼迪描述了一个攻击可能的情形:“比如,一个叫马洛里的黑客想要拦截你与mail.google.com的通信,而这一通信对应的密钥是0xdeadbeef。那么首先,马洛里向你发送mail.google.com的真实叶证书,卡巴斯基会验证该证书并生成它自己的证书和密钥。然后,马洛里使发送另一个站点(比如a)同样使用0xdeadbeef作为密钥的检验证书,并形成碰撞。现在马洛里成功将对mail.google.com的域名解析定向到了a,卡巴斯基开始使用缓存的证书,而攻击者则完全控制了对mail.google.com的访问。

这意味着攻击者拥有了网络通信中的中间人位置,从而把用户对mail.google.com的访问通过域名解析重定向到攻击者所控制的流氓服务器。该服务器拥有并使用a这一域名的证书。

在正常情况下,浏览器本应当提示证书错误,因为a的证书和用户要访问的mail.google.com不匹配。然而,由于浏览器实际看到的不是原始证书,而是卡巴斯基杀毒软件为mail.google.com生成的证书,因此它将不会报错并建立连接。

32位的密钥过于脆弱,这导致即使正常的浏览也可能发生证书碰撞。例如,奥尔曼迪发现卡巴斯基为news.ycombina和au的证书生成了相同的密钥。

卡巴斯基实验室的研究员指出,除了32位密钥以外,还有一个额外的域名检查机制。这会提高实施中间人攻击的难度,但是攻击仍有可能发生。

奥尔曼迪在一个周三公开质询会上表示:“我们提出了仍可能发生的替代性攻击方式,卡巴斯基很快解决了问题。”他说,卡巴斯基公司在12月28日就解决了这一漏洞。

安全厂商常宣称,为了保护用户免受恶意网络服务器在内的各种威胁,必须实现SSL / TLS拦截。然而,拦截的启用常常会反过来导致安全问题。因为,要想准确无误地验证证书很难,这必须经过浏览器厂商自身多年的完善。

---

在订阅号里,长按公众号,即可“置顶”

1.《【卡巴斯基key生成助手】卡巴斯基反病毒产品现漏洞 可被中间人攻击》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《【卡巴斯基key生成助手】卡巴斯基反病毒产品现漏洞 可被中间人攻击》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2495978.html

上一篇

【qq版本怎么升级】专题QQ64位版正式发布,太流畅了!(附下载)

下一篇

【炉石传说龙骑士】炉石传说:圣骑士的新版本应该乘报告去吗?但是相关零部件都退出了环境

卡巴斯基key生成助手看这里!卡巴斯基免费版发布!全功能 速度飞快

卡巴斯基key生成助手看这里!卡巴斯基免费版发布!全功能 速度飞快

卡巴斯基key生成助手相关介绍,国际知名安全软件卡巴斯基今天发布了个人免费版本,这是卡巴斯基首次在PC个人平台上免费(以前是免费Android版本)。 卡巴斯基表示,免费版采用了与付费个人产品相同的技术,包含所有重要的安全防护功能,...

【卡巴斯基key生成助手】卡巴斯基2017——工匠精神、守护力量、安全首选

【卡巴斯基key生成助手】卡巴斯基2017——工匠精神、守护力量、安全首选

卡巴斯基key生成助手相关介绍,昨天,卡巴斯基2017个人版新上市,卡巴斯基仍然提供满足您所有需求的杀软产品。 为不同年龄层不同人群都能给予全方位保护,同时延续卡巴斯基的严谨工匠精神,令守护成为一种责任。 抵御最新病毒提升易用性与性...

卡巴斯基key生成助手看这里!卡巴斯基WISeKey发布安全手机应用抵御网络攻击

卡巴斯基key生成助手看这里!卡巴斯基WISeKey发布安全手机应用抵御网络攻击

卡巴斯基key生成助手相关介绍,卡斯巴斯基研究所和瑞士网络安全公司威士忌在达沃斯举行的世界经济论坛上发布了“Waiz ID移动安全网络-Resilience”,这是一款手机安全应用程序,旨在保护用户的个人信息和有价值的信息,完全防止...

【卡巴斯基key生成助手】卡巴斯基WISeKey携手保护可穿戴设备安全

【卡巴斯基key生成助手】卡巴斯基WISeKey携手保护可穿戴设备安全

卡巴斯基key生成助手相关介绍,卡斯巴斯基实验室和WiSeKey宣布,共同开发了深度集成到最新可穿戴设备中的身份认证和数据加密技术,使这些设备能够安全地连接、通信和金融数据交换。 根据WISeKey和卡巴斯基实验室相关研究,预计到2...

卡巴斯基key生成助手,干货看这篇!84元3年,卡巴斯基安全软件2015官方最低价大促

卡巴斯基key生成助手,干货看这篇!84元3年,卡巴斯基安全软件2015官方最低价大促

卡巴斯基key生成助手相关介绍,安全618、卡巴斯基安全软件2015官方正版许可证启用五折优惠,用户三年版目前只有84元,同时支持使用卡巴斯基安全软件2016和2017后续升级版本。点击此按钮,到Kaba官方微商店购买。“从那以后,...

卡巴斯基防火墙有哪些

卡巴斯基防火墙有哪些

卡巴斯基防火墙相关介绍,网络技术的发展,给人们带来生活便利的同时也带来了安全隐患。近年来,不少非法分子通过黑客技术入侵计算机,盗取个人身份和银行支付密码等信息,加上网民安全防护意识欠缺,导致财产盗窃案高居不下,金融诈骗、信用...

卡巴斯基防火墙视频

卡巴斯基防火墙视频

卡巴斯基防火墙相关介绍,网络技术的发展,给人们带来生活便利的同时也带来了安全隐患。近年来,不少非法分子通过黑客技术入侵计算机,盗取个人身份和银行支付密码等信息,加上网民安全防护意识欠缺,导致财产盗窃案高居不下,金融诈骗、信用...

卡巴斯基杀毒 Win10 Defender杀毒力最烂 微软强杀卡巴:更安全

  • 卡巴斯基杀毒 Win10 Defender杀毒力最烂 微软强杀卡巴:更安全
  • 卡巴斯基杀毒 Win10 Defender杀毒力最烂 微软强杀卡巴:更安全
  • 卡巴斯基杀毒 Win10 Defender杀毒力最烂 微软强杀卡巴:更安全