近年来,LinkedIn已成为最受欢迎的在线社交网站之一,因此成为黑客和安全研究人员的目标。Zimperium的创始人兼首席执行官Zuk Avraham在一份新报告中声称,由于该站点使用安全套接字层(SSL)加密的方式,LinkedIn使其用户遭受了潜在的利用。
Zimperium的技术zANTI基于称为SSLstrip的程序,该程序于2009年首次由安全研究人员Moxie Marlinspike公开提供。SSLstrip可帮助攻击者对认为自己受到SSL保护的用户进行中间人(MITM)攻击。SSL剥离的结果是,MITM攻击可能会拦截来自LinkedIn的用户信息。
“我们使用了自己的SSLstrip实现,它具有非常基本的概念:将所有HTTP字符串替换为HTTP,” Avraham告诉eWEEK。
HTTPS字符串表示给定的Web地址由SSL保护。Avraham补充说,自己公司的工具zANTI具有免费版本,任何人都可以使用它轻松地审核是否容易受到Zimperium的SSLstrip实施的影响。
阿夫拉罕(Avraham)说,他的公司于2013年5月首先负责任地向LinkedIn披露了此问题。
LinkedIn发言人Nicole Leverich向eWEEK确认Zimperium确实已与LinkedIn联系。她指出,LinkedIn回复了Zimperium,并提供了有关LinkedIn上HTTPS / SSL部署状态的更新。
“从2013年12月起,我们开始将LinkedIn网站转换为默认的HTTPS,就在上周宣布,默认情况下,我们将通过HTTPS向所有美国和欧盟用户提供所有流量,” Leverich说。“考虑到默认情况下我们正在进行的HTTPS的全球发布,此问题不会影响绝大多数LinkedIn成员。”
Leverich补充说,LinkedIn成员还可以选择通过几个简单的步骤默认情况下打开HTTPS:转到LinkedIn 设置,单击“帐户”选项卡,然后单击“管理安全设置 ”,然后选中该框,然后单击“保存更改”。
阿夫拉罕(Avraham)表示,自从他们今天公开安全披露信息以来,他的公司从未收到过LinkedIn的消息。
“无论您是否在选项中启用了SSL,他们[LinkedIn]都应对所有cookie强制使用安全位,” Avraham说。“我们测试过的所有用户都使用默认设置,很容易遭到帐户劫持。”
Avraham还建议,在访问LinkedIn和任何其他敏感网站时,用户应始终键入“ https://”。他补充说,LinkedIn还可以在其非SSL网站中添加针对SSLstrip的支票,然后重定向到安全网站。
SSL剥离的问题是LinkedIn之外的网站也应关注的问题。
Qualys工程总监Ivan Ristic 对eWEEK表示: “我认为,大多数SSL站点都容易受到SSL剥离的影响。” “这是因为任何浏览器的默认设置都是首先尝试纯文本[HTTP]访问。抵抗SSL剥离攻击的唯一方法是部署HTTP Strict Transport Security,但是只有少数站点这样做。”
HTTP严格传输安全(HTTPS)是一项技术规范,可强制用户加载网站的HTTP版本。
Comodo产品管理副总裁Kevin Gilchrist 告诉eWEEK,虽然称LinkedIn问题为零日漏洞利用尚有争议,但这是一个主要问题。
Gilchrist表示:“许多网站运营商做出了明智的设计选择,仅将SSL(https)用于登录和付款页面,而不是每个页面,因为这节省了基础架构成本。” “它在计算上更便宜,因此使用的硬件,功率,加热和冷却更少。”
Gilchrist建议网站使用SSL作为内容的新默认设置,因为启用SSL比确保Web开发人员使用加密和未加密的流量编写健壮的混合站点要容易得多。
吉尔克里斯特说:“总是要以摆在您面前的硬性成本为基础来管理成本,而低估了潜在的安全漏洞的成本。” “额外的基础架构成本应该比客户失去信任和业务损失要便宜。”
