当前位置:首页 > 话题广场 > 攻略专题 > 单机攻略

卡巴斯基key生成助手,干货看这篇!卡巴斯基反病毒产品现漏洞 可被中间人攻击

研究者发现,基于脆弱的32位签名的证书认证机制很容易受到不同网站上相同签名冲突的影响。

卡巴斯基实验室近期更新了反病毒产品,本次更新修补了致使用户易受流量劫持的漏洞。

谷歌的漏洞研究员塔维斯·奥尔曼迪最早发现这一漏洞,该漏洞存在于卡巴斯基杀毒软件用来检测加密链接内的潜在威胁时所用的SSL/TLS流量检测功能里。

和其他终端安全产品一样,卡巴斯基会在电脑上安装一个自签名的CA根证书,并用它延伸出的“叶”证书进行拦截访问,从而对用户访问的所有https可用的站点授予证书。这允许杀毒软件对本地浏览器和远程服务器之间的链接进行加/解密操作。

奥尔曼迪发现,每当卡巴斯基的反病毒产品生成一个拦截证书时,它会基于网站提供的原始证书序列号生成一个32位的密钥并缓存这一对应关系。而这一机制使得当用户再次访问同一网站时,杀毒软件会使用缓存的叶证书而不是再次生成新的证书。

但问题在于,这个32位的密钥十分脆弱,攻击者能通过碰撞而轻易伪造出一个匹配密钥的假证书。

奥尔曼迪描述了一个攻击可能的情形:“比如,一个叫马洛里的黑客想要拦截你与mail.google.com的通信,而这一通信对应的密钥是0xdeadbeef。那么首先,马洛里向你发送mail.google.com的真实叶证书,卡巴斯基会验证该证书并生成它自己的证书和密钥。然后,马洛里使发送另一个站点(比如a)同样使用0xdeadbeef作为密钥的检验证书,并形成碰撞。现在马洛里成功将对mail.google.com的域名解析定向到了a,卡巴斯基开始使用缓存的证书,而攻击者则完全控制了对mail.google.com的访问。

这意味着攻击者拥有了网络通信中的中间人位置,从而把用户对mail.google.com的访问通过域名解析重定向到攻击者所控制的流氓服务器。该服务器拥有并使用a这一域名的证书。

在正常情况下,浏览器本应当提示证书错误,因为a的证书和用户要访问的mail.google.com不匹配。然而,由于浏览器实际看到的不是原始证书,而是卡巴斯基杀毒软件为mail.google.com生成的证书,因此它将不会报错并建立连接。

32位的密钥过于脆弱,这导致即使正常的浏览也可能发生证书碰撞。例如,奥尔曼迪发现卡巴斯基为news.ycombina和au的证书生成了相同的密钥。

卡巴斯基实验室的研究员指出,除了32位密钥以外,还有一个额外的域名检查机制。这会提高实施中间人攻击的难度,但是攻击仍有可能发生。

奥尔曼迪在一个周三公开质询会上表示:“我们提出了仍可能发生的替代性攻击方式,卡巴斯基很快解决了问题。”他说,卡巴斯基公司在12月28日就解决了这一漏洞。

安全厂商常宣称,为了保护用户免受恶意网络服务器在内的各种威胁,必须实现SSL / TLS拦截。然而,拦截的启用常常会反过来导致安全问题。因为,要想准确无误地验证证书很难,这必须经过浏览器厂商自身多年的完善。

---

在订阅号里,长按公众号,即可“置顶”

1.《卡巴斯基key生成助手,干货看这篇!卡巴斯基反病毒产品现漏洞 可被中间人攻击》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《卡巴斯基key生成助手,干货看这篇!卡巴斯基反病毒产品现漏洞 可被中间人攻击》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2555295.html

上一篇

qq版本怎么升级,干货看这篇!QQ64位版正式发布,太流畅了!(附下载)

卡巴斯基key生成助手,干货看这篇!卡巴斯基免费版发布!全功能 速度飞快

卡巴斯基key生成助手,干货看这篇!卡巴斯基免费版发布!全功能 速度飞快

卡巴斯基key生成助手相关介绍,国际知名安全软件卡巴斯基今天发布了个人免费版本,这是卡巴斯基首次在PC个人平台上免费(以前是免费Android版本)。 卡巴斯基表示,免费版采用了与付费个人产品相同的技术,包含所有重要的安全防护功能,...

关于卡巴斯基key生成助手我想说卡巴斯基2017——工匠精神、守护力量、安全首选

关于卡巴斯基key生成助手我想说卡巴斯基2017——工匠精神、守护力量、安全首选

卡巴斯基key生成助手相关介绍,昨天,卡巴斯基2017个人版新上市,卡巴斯基仍然提供满足您所有需求的杀软产品。 为不同年龄层不同人群都能给予全方位保护,同时延续卡巴斯基的严谨工匠精神,令守护成为一种责任。 抵御最新病毒提升易用性与性...

卡巴斯基key生成助手,干货看这篇!卡巴斯基WISeKey携手保护可穿戴设备安全

卡巴斯基key生成助手,干货看这篇!卡巴斯基WISeKey携手保护可穿戴设备安全

卡巴斯基key生成助手相关介绍,卡斯巴斯基实验室和WiSeKey宣布,共同开发了深度集成到最新可穿戴设备中的身份认证和数据加密技术,使这些设备能够安全地连接、通信和金融数据交换。 根据WISeKey和卡巴斯基实验室相关研究,预计到2...

【卡巴斯基key生成助手】84元3年,卡巴斯基安全软件2015官方最低价大促

【卡巴斯基key生成助手】84元3年,卡巴斯基安全软件2015官方最低价大促

卡巴斯基key生成助手相关介绍,安全618、卡巴斯基安全软件2015官方正版许可证启用五折优惠,用户三年版目前只有84元,同时支持使用卡巴斯基安全软件2016和2017后续升级版本。点击此按钮,到Kaba官方微商店购买。“从那以后,...

【卡巴斯基key生成助手】卡巴斯基被美国封杀,微软背锅

【卡巴斯基key生成助手】卡巴斯基被美国封杀,微软背锅

卡巴斯基key生成助手相关介绍,IT House 11月19日被怀疑需要向俄罗斯政府提供信息,7月份被美国政府从联邦机构供应商名单中删除。 而其被指与俄罗斯间谍勾结、攻击美国国安局(NSA)一名雇员的电脑这一事件,更是让卡巴斯基遭到...

【卡巴斯基key生成助手】专题终于连卡巴斯基也免费了

【卡巴斯基key生成助手】专题终于连卡巴斯基也免费了

卡巴斯基key生成助手相关介绍,不知道大家是否还在使用杀毒软件,反正我很久没用了,但是我听说卡巴斯基是免费的还是老虎振动的。(约翰肯尼迪)(美国)。 学生时代的回忆 还上大学的时候终于能自己带电脑出去了, 于是不上课的时间就在宿舍里...

卡巴斯基key生成助手专题之卡巴斯基,操作系统

卡巴斯基key生成助手专题之卡巴斯基,操作系统

卡巴斯基key生成助手相关介绍,游戏历史上著名的延迟产品,如《潜行者 切尔诺贝利的阴影》,延迟了4-5年。 当然,最为臭名昭著的可能是《永远的毁灭公爵》,最后出来的还是个半成品。在应用软件和操作系统等正统软件领域,通常只有那些工业、...

【卡巴斯基key生成助手】卡巴斯基反病毒产品现漏洞 可被中间人攻击

【卡巴斯基key生成助手】卡巴斯基反病毒产品现漏洞 可被中间人攻击

卡巴斯基key生成助手相关介绍,研究者发现,基于脆弱的32位签名的证书认证机制很容易受到不同网站上相同签名冲突的影响。 卡巴斯基实验室近期更新了反病毒产品,本次更新修补了致使用户易受流量劫持的漏洞。 谷歌的漏洞研究员塔维斯·奥尔曼迪...