更新:“咱們加密吧”的回應(yīng)是,此為不可避免的。
趨勢(shì)科技(TrendMicro)稱發(fā)現(xiàn)騙子濫用免費(fèi)的“咱們加密吧”加密認(rèn)證系統(tǒng),將惡意軟件弄到電腦上。
安全欺詐研究人士JosephChen去年12月21日發(fā)現(xiàn)一些異常活動(dòng),日本的一些網(wǎng)友訪問(wèn)過(guò)一個(gè)網(wǎng)站后就會(huì)通過(guò)加密HTTPS提供惡意軟件。該網(wǎng)站利用釣魚(yú)工具包(AnglerExploitKit)感染網(wǎng)友的機(jī)器與軟件,其目的是奇襲他們的網(wǎng)上銀行賬戶。
由于使用了加密,惡意軟件在傳輸過(guò)程中可以避開(kāi)網(wǎng)絡(luò)安全的掃描,而證書(shū)則有助于惡意站點(diǎn)的合法化。
為了得到他們的“咱們加密吧”(Let'sEncrypt)證書(shū),攻擊者攻陷了一個(gè)未透露站名的網(wǎng)站服務(wù)器,并創(chuàng)建了自己的服務(wù)器網(wǎng)站子域名及獲取了該子域的HTTPS證書(shū)。
趨勢(shì)科技發(fā)現(xiàn)的“咱們加密吧”證書(shū)
Chen今天解釋?zhuān)缸锓肿佑昧俗佑騺?lái)承載誘殺廣告,使其看起來(lái)像是來(lái)自合法的主網(wǎng)站。廣告中還含有抗防病毒代碼。
Chen對(duì)“咱們加密吧”的政策略有微言,“咱們加密吧”奉行所謂“非內(nèi)容過(guò)濾器”政策。Chen表示,CA(證書(shū)認(rèn)證機(jī)構(gòu))應(yīng)在阻止這樣的攻擊時(shí)發(fā)揮作用,CA僅僅檢查谷歌的安全瀏覽API證書(shū)是不夠的。他覺(jué)得應(yīng)該存在機(jī)制防止未經(jīng)授權(quán)證書(shū)的注冊(cè)。
記者仍在等“咱們加密吧”的回應(yīng)。
