心脏流血漏洞袭击了全球的加密服务器之后仅过了6个月,谷歌的研究员们又发现了一个加密漏洞。这次漏洞位于安全软件保护的另一端:与那些服务器连接的PC和手机。
存在于3.0版SSL中的这个名为POODLE的漏洞允许攻击者劫持用户的会话,窃取在用户电脑与加密在线服务之间传输的所有数据。与心脏流血漏洞不同的是,黑客可以利用POODLE漏洞发起攻击时必须与目标在同一个网络上,这个漏洞威胁的主要是开放WiFi网络的用户,比如星巴克的顾客。
Gotofail
心脏流血漏洞和Shellshock漏洞给安全社区造成了巨大的震动,以至于人们可能会忘了2014年最先被发现的重要漏洞Gotofail。Gotofail漏洞影响的只是苹果用户。
今年2月,苹果宣布用户的加密网络数据可能会被同一本地网络上的其他人截获,这主要是因为管理OSX和iOS如何执行SSL和TLS加密的软件代码中的“转至”命令出错引起的。
不幸地是,苹果只发布了一个针对iOS的补丁而没有发布适用于OSX的补丁。也就是说,苹果在公布这个漏洞的消息时完全让其台式机电脑用户陷入了随时被攻击的境地。它的这个失误甚至激起了公司自己以前的一名安全工程师专门发了一篇博客文章来痛斥它。
克里斯汀帕吉特(Christin Paget)写道:“你们在向你们其中一个平台发布SSL补丁时难道没有想到其他的平台?我在使用我的Mac电脑时,我随时都会受到攻击,而且我现在还只有眼睁睁地看着,什么也干不了。可爱的苹果,你他妈的在干什么??!?!!”
BadUSB
2014年被发现的最阴险的攻击并没有借助于任何软件中的任何安全漏洞,因此它也是无法通过补丁来修复的。这种攻击方式是谷歌研究员卡尔斯滕诺尔(Karsten Nohl)8月份在黑帽子安全大会上最早演示的,它依仗的是USB设备中固有的一种不安全因素。
因为USB设备的固件是可以被复写的,黑客可以编写出恶意软件悄悄地侵入USB控制器芯片,而不是安全软件通常在查毒时扫描的闪存。例如,一块U盘可能会包含一个无法被安全软件查出的恶意件,它会破坏U盘上的文件或者模拟键盘动作,悄悄地将各种命令注入用户的机器之中。
大约只有一半的USB芯片是可被复写的,因此就有一半的USB设备会受到BadUSB的攻击。但是由于USB设备厂商并没有公布它们使用的是哪家厂商的芯片并且经常更换供应商,因此用户不可能知道哪些设备会受到BadUSB的攻击。
据诺尔说,针对这种攻击方式的唯一保护方法是将USB设备当作“一次性注射器”一样使用,永远不要与他人共用或将它们插入不被信任的机器。
诺尔认为这种攻击方式会造成很严重的后果,因此他拒绝公开相应的验证概念代码。但是一个月之后,另一群研究员公布了他们自己通过反向推导得出的攻击代码,迫使芯片厂商解决这个问题。很难说是否有人利用那段代码发动过攻击,这意味着全球各地的人们使用的无数USB设备已经不再安全了。