根据一位IBM安全研究人员的说法,用于保护互联网上通信安全的协议缺陷可能被用来攻击Twitter帐户。上周,Anil Kurmus展示了SSL(安全套接层协议)协议可能存在的缺陷用于基本欺骗受害者发送包含其密码信息的Twitter消息。为了利用漏洞,黑客首先必须找到一种方法进入受害者的网络,发起所谓的“中间人攻击”,所以很难影响大量的Twitter用户这种技术。这个问题很快就被Twitter修补了,但是它有安全专家想知道有多少网站可能遭受类似问题。
自11月5日以来,一个互联网公司的财团开始着手解决SSL问题,当时它被无意中提出公众在讨论名单上。但是关于这个缺陷的严重性已经有一些争论。错误发布后不久,IBM研究员Tom Cross表示,大多数主要Web应用程序不会受到该问题的影响。
[更多阅读:如何从Windows PC中删除恶意软件]
但克罗斯改变了主意,写道:“不幸的是,情况比我想象的要糟糕。”特别是Webmail应用程序也可能面临这种攻击。安全专家还担心其他应用程序(例如数据库)可能面临风险。
Twitter.com易受此错误影响,因为它在SSL下进行了所谓的客户端重新协商。客户重新协商后,网站可以在用户已经连接到该网站后向Twitter用户询问SSL证书。对于允许用户使用智能卡登录的站点或限制访问一组预定义的Web冲浪者的站点,这是一个非常有用的工具,但在漏洞修复之前,客户端重新协商还会为SSL攻击打开大门。很可能是许多网站,比如Twitter,允许客户端重新协商,因为它是内置于SSL协议及其后继者TLS(传输层安全)中的,Marsh Ray是PhoneFactor开发人员之一,他发现了这个问题。 “很多人都没有意识到他们在做这件事,”他说,“好消息是许多网站都可以直接禁用它,这显然是Twitter所做的。根据Ray的说法,人们应该认识到虽然SSL缺陷并不是灾难性的,“这是一个严重的错误,人们需要修补它”。