虚假SSL证书一般喜欢冒充银行、电子商务、ISP和社交网站,常用“中间人”攻击受影响的网站和他们的用户。“中间人”是指攻击者在网银等流量重新加密前破译并将其转发给银行,这使得用户和银行都无法察觉攻击者有可能已经获得用户的身份验证信息,攻击者得以操纵用户的账户。
虚假SSL证书一般伪装成目标网站主机名的通用名称。由于这些虚假证书并不是由正规的证书颁发机构签发的,一般主流浏览器都能检测出来。然而,随着移动业务量的增加,不少来自APP和其他非浏览器的软件无法充分检测这些假冒SSL证书的有效性。
虚假SSL证书本身是不能单独完成“中间人”攻击的。它需要在受害者的移动设备和与其通信的服务器之间的某个位置上截取网络流量。在实际操作中,这意味着攻击者要和受害者共享同一个网络和互联网连接,或者需要访问受害者和服务器之间互联网的某些系统。建立一个恶意无线接入点,是进行这种攻击最简单的办法。攻击者可以很容易地监控所有的网络流量并影响DNS查询结果,比如将某个银行网站域名解析到自己掌控的IP。
研究者们在亚马逊EC2 Java库、亚马逊和Paypal商户软件开发工具包、集成的购物车软件如osCommerce和ZenCart,以及移动互联网使用的AdMob代码中均发现假冒SSL证书验证漏洞。这些著名平台对证书验证的缺乏导致此前对Paypal支付的攻击甚至都无法检测到被侵入,直到3个月前这一漏洞被修复。
移动设备上的网银APP更是成为“中间人”攻击最具诱惑力的目标,因为这些软件上的SSL验证远达不到严格的程度,且移动应用的验证标准经常比Web浏览器的标准要压缩一些。经测试,40%的基于iOS的网银APP都容易受到这种攻击,因为它们无法验证服务器提供的SSL证书的真实性。41%选定的安卓APP在检测中有被攻击的可能。如果用户通过恶意攻击等渠道安装了恶意根证书,应用程序和浏览器都可能会非常脆弱,但是这种攻击对iPhone来说尚不严重。
下面我们就来看看,哪些网站是虚假SSL证书最喜欢伪装的吧!
Facebook.com
研究人员发现一个来自乌克兰的Web服务器上的伪装成facebook.com的假冒SSL证书。该证书带有明显的欺诈目的,将受害者引入伪装成Facebook的钓鱼网站。而官方Facebook app能够正确验证SSL证书并使用证书链以防止虚假SSL证书,因而对这种攻击是安全的。
Google.com
Google众多服务和应用可谓是虚假SSL证书实行攻击得天独厚的条件,虚假证书伪装成Google.com的通配符证书。研究人员截获了一个来自罗马利亚服务器的伪装成google.com的假证书,声称由America Online(美国在线,AOL)根证书颁发机构签发,巧妙地模仿AOL颁布的各类浏览器中的根证书,但这个“假货”缺少可验证的证书链。一些浏览器默认设置将阻止用户绕过由此产生的错误信息。
并不是所有的虚假证书都有恶意目的。一个名为KyoCast的组织使用了与google.com通配符证书非常相似的证书,使得安装了Chromecast的设备将某些流量发送到自己的服务器上而不是google的。该虚假证书标称来自“Kyocast Root CA”,使用主题备用名称扩展功能,还伪装成许多其他证书被认定有效的主机名。
GoDaddy
GoDaddy的POP邮件服务器也没能逃过虚假SSL证书的攻击。因为GoDaddy本身也有SSL产品,所以这种伪装成GoDaddy签发的SSL证书的迷惑性还是很大的。在这种情况下,有可能给攻击者捕获邮件凭证、重置密码和窃取敏感数据的机会,不过邮件虚假SSL证书通过网站发布的情况很少见。虽然这种虚假SSL证书的真实目的未知,但是值得注意的是,不少邮件客户端允许临时或永久地忽略证书错误,有些用户可能习惯忽视这种警告。
Apple iTunes
如今Apple iTunes是继Paypal之后钓鱼网站最感兴趣的对象。研究者最近截获的这份虚假SSL证书中,发行人居然是“VeriSign 3 Class Secure Server CA - G2”,像模像样地模仿起有效的合法证书的通用名称,但是并没有回到VeriSign Root的证书链,所以是伪造而非错误颁发的。
Youtube.com
当然不是所有的虚假证书都是为了获取通讯信息的。一个来自巴基斯坦服务器的虚假SSL证书伪装成巴基斯坦一家CA机构颁布的证书,却使用了youtube.com的通用名。曾一度在巴基斯坦是无法访问Youtube的,据称该证书也许是为了防止公民观看部分Youtube视频。
iqbank.ru
俄罗斯第二大银行SVYAZNOY BANK JSC 的网站iqbank.ru也没能逃过虚假证书的攻击。证书的发行人伪造成Thawte,企图用该证书链混过比较浅显的证书验证。
qiwi.ru
类似的攻击技术还用在俄罗斯大型支付服务提供商KIWI International Processing Services LLC的网站qiwi.ru身上。虚假SSL证书的发行人伪造成SecureTrust,这是一家Trustwave旗下小型证书机构。
