一種 19 年前被發現的網頁加密漏洞,竟然被發現重新出現在現代網頁上,連 Facebook 和 PayPal 的網頁都被發現有這個漏洞。而這個漏洞竟然是出自現代網上購物一直信賴的加密通信協議 TLS 身上。
19 年前,一位研究人員 Daniel Bleichenbacher 發現破解以 RSA 運算法來加密的 TLS 通信協議的方法,不過到了今時今日,德國波鴻魯爾學( Ruhr-Universität Bochum )就發現只要稍加修改,這個漏洞仍然適用於現在的 HTTPS 上面,令到有心人可以透過這個漏洞來截取和解密本應加密了的內容。研究人員以「 Bleichenbacher 攻擊再臨( Return Of Bleichenbacher’s Oracle Threat )」來稱呼這種攻擊,簡稱 ROBOT 攻擊。
不少著名品牌如 Cisco 、 Citrix 、 Oracle 的網絡產品都被發現受影響,而 Dell 、 Microsoft 、 OpenSSL 、 RSA Security 的產品就不受影響。 Cisco 等廠商已表明會推出修正檔來修補漏洞。
研究人員發現 Facebook 和 PayPal 這種大型網站都有這個漏洞。在頭 100 位網域裡, 27 個子網域有這漏洞。他們已經提供了網上服務和開源的 Python 程式,讓公眾去查看自己的伺服器有沒有這個漏洞。研究人員又指由於現代的 TLS 連接幾乎都已改用 ECDHE , RSA 只在簽署時才必要,所以即使停用高危的 RSA 加密模式,應該也不會有問題發生。
有關 ROBOT 攻擊的詳細資料和網上檢查服務:按此
下載檢查 ROBOT 攻擊的程式碼:按此
