创意安天

 找回密码
 注册创意安天

针对移动设备的FREAK攻击【非官方中文译文•安天技术公益翻译组译注】

[复制链接]
发表于 2015-11-24 14:10 | 显示全部楼层 |阅读模式
  
针对移动设备的FREAK攻击

非官方中文译文•安天技术公益翻译组译注
文档信息
原文名称
FREAK Out on Mobile
原文作者
Yulong Zhang, Hui Xue,
  
Tao Wei, Zhaofeng Chen
原文发布日期
2015年3月17日
作者简介
Yulong Zhang是火眼公司的高级软件研究工程师。
    
Tao Wei是火眼公司的高级研究科学家。在加入火眼公司前,他担任北京大学的副教授和加州大学伯克利分校的来访项目科学家。
  
原文发布单位
火眼公司
原文出处
译者
安天技术公益翻译组
校对者
安天技术公益翻译组
免责声明
•  本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。
  
•  本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。
  
•  译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。
  
•  本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。

针对移动设备的FREAK攻击
Yulong Zhang, Hui Xue, Tao Wei, Zhaofeng Chen
2015年3月17日

自心脏出血漏洞后,最近披露的FREAK攻击[1]再一次引发了人们对TLS(安全传输层协议)实现的安全性的关注[2]。然而,致力于客户端安全检查的freakattack.com只检查各种浏览器。在这篇博客中,我们研究iOS和Android应用程序在FREAK攻击下的安全状态。


FREAK攻击允许“攻击者拦漏洞客户端与服务器之间的HTTPS连接,迫使它们使用弱加密,攻击者可以破解加密并窃取或操纵敏感数据。”[1] 为使FREAK攻击获得成功,服务器需要接受RSA_EXPORT密码套件,而客户端需要在非出口密码套件中允许临时的RSA密钥。因此,攻击者可能会降低连接的加密强度,便于窃取数据。


截至3月4日,Andr​​oid和iOS平台的最新版本都容易受到FREAK攻击 [3]。因为iOS和Android应用程序可能包含OpenSSL库的漏洞版本,所以FREAK既是平台漏洞又是应用程序漏洞。即使厂商修复了Android和iOS系统的漏洞,当它们连接到接受RSA_EXPORT密码套件的服务器时还是会遭受FREAK攻击。苹果公司于3月9日修复了iOS 8.2的FREAK漏洞,但是一些iOS应用程序仍然容易受到FREAK攻击,原因就在于此[4]。


我们扫描了10,985个流行的、下载量超过100万的Google PlayAndroid应用程序,发现其中的1228个(11.2%)容易受到FREAK攻击,因为它们使用有漏洞的OpenSSL库连接到漏洞HTTPS服务器。这1228个应用程序的下载量已经超过了63亿。在这1228个Andr​​oid应用程序中,664个采用Android的捆绑OpenSSL库,564个使用自己编译的OpenSSL库;所有这些OpenSSL版本都容易受到FREAK攻击。iOS方面,14,079个流行iOS应用程序中的771个(5.5%)连接到有漏洞的HTTPS服务器。在低于iOS 8.2的版本上,这些应用程序很容易受到FREAK攻击。771个应用程序中的其中7个具有自己的OpenSSL版本,在iOS 8.2上仍然容易受到攻击。


漏洞统计


攻击者可能利用中间人(MITM)技术发动FREAK攻击,来截取并修改移动应用程序和后端服务器之间的加密流量。攻击者可以使用公知的技术,例如ARP欺骗或DNS劫持。攻击者不必实时破解加密,他们每周记录弱加密的网络流量,将其解密并访问内部敏感信息。


表1呈现了有漏洞的、属于安全和隐私敏感类别的Android和iOS应用程序的数量。不太敏感的类别,如体育和游戏,则不包含在内。表中的红色柱状代表应用程序开发人员修复的FREAK漏洞。对于Android应用程序,我们进一步绘制了同样类别的漏洞应用程序的下载量,如表2所示。蓝色柱状代表截止3月10日漏洞应用程序的下载量。


1.png
1:易受FREAK攻击的应用程序的数量
2.png
2:易受FREAK攻击的Andr​​oid应用程序下载量(对数刻度)

攻击场景

举例来说,攻击者可以对一个流行的购物应用程序发动
FREAK攻击,窃取用户的登录凭据和信用卡信息。其他敏感的应用程序包括医疗、生产和金融应用程序。图1和图2显示了被攻击者破解后的漏洞应用程序和相应服务器之间的明文通信。
3.png
1:解密的登录凭据

4.png
2:解密的信用卡信息

移动应用程序已经成为攻击者的重要前端和有价值的目标。FREAK攻击对移动应用程序的安全和隐私带来了严重威胁。我们呼吁应用程序开发人员和网站管理员尽快解决这个问题。

参考文献

[4] https://support.apple.com/en-us/HT204423

安天公益翻译(非官方中文译本): 针对移动设备的FREAK攻击[非官方中文译文•安天技术公益翻译组译注].pdf (810.57 KB, 下载次数: 123)
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 20:27

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表