更新:“咱們加密吧”的回應(yīng)是,此為不可避免的。
趨勢科技(TrendMicro)稱發(fā)現(xiàn)騙子濫用免費的“咱們加密吧”加密認證系統(tǒng),將惡意軟件弄到電腦上。
安全欺詐研究人士JosephChen去年12月21日發(fā)現(xiàn)一些異常活動,日本的一些網(wǎng)友訪問過一個網(wǎng)站后就會通過加密HTTPS提供惡意軟件。該網(wǎng)站利用釣魚工具包(AnglerExploitKit)感染網(wǎng)友的機器與軟件,其目的是奇襲他們的網(wǎng)上銀行賬戶。
由于使用了加密,惡意軟件在傳輸過程中可以避開網(wǎng)絡(luò)安全的掃描,而證書則有助于惡意站點的合法化。
為了得到他們的“咱們加密吧”(Let'sEncrypt)證書,攻擊者攻陷了一個未透露站名的網(wǎng)站服務(wù)器,并創(chuàng)建了自己的服務(wù)器網(wǎng)站子域名及獲取了該子域的HTTPS證書。
趨勢科技發(fā)現(xiàn)的“咱們加密吧”證書
Chen今天解釋,犯罪分子用了子域來承載誘殺廣告,使其看起來像是來自合法的主網(wǎng)站。廣告中還含有抗防病毒代碼。
Chen對“咱們加密吧”的政策略有微言,“咱們加密吧”奉行所謂“非內(nèi)容過濾器”政策。Chen表示,CA(證書認證機構(gòu))應(yīng)在阻止這樣的攻擊時發(fā)揮作用,CA僅僅檢查谷歌的安全瀏覽API證書是不夠的。他覺得應(yīng)該存在機制防止未經(jīng)授權(quán)證書的注冊。
記者仍在等“咱們加密吧”的回應(yīng)。
