Let's Encrypt颁发的免费HTTPS证书已遭黑客利用
2023-09-11 14:19:46 时间
自打数字证书认证机构(CA)Let’s Encrypt开启beta项目,为公众提供免费HTTPS证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域来部署他们的恶意软件。
12月份时,安全公司Trend Micro发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了Angler Exploit Kit——它会下载银行木马,自动感染Windows设备。这种木马可让黑客在用户不知情的情况下远程访问系统。
该公司表示,这种恶意广告服务器采用一种名为domain shadowing的技术,攻击者可诱导用户至已受控制的服务器,使用来自Lets Encrypt的安全证书保护的子域掩饰他们的行为。
按照Trend Micro的观察,黑客们会搞个广告,看起来是链接至合法域的。Trend Micro表示,这可能是因为Lets Encrypt在颁发证书之前仅靠谷歌安全浏览API核查域。这无法阻止黑客获取证书,以及在合法站点的保护下创建带恶意软件的子域。Trend Micro的报告表明,Lets Encrypt的服务存在潜在安全问题,并呼吁该组织在发现证书被滥用之后就收回。
本文转自d1net(转载)
相关文章
- http和https的区别,HTTPS工作原理,状态码,cookie和session对于HTTP有什么用
- 卧槽!黑客让吴师兄打钱赎回数据!
- BZOJ4912 : [Sdoi2017]天才黑客
- 当“海盗”遇上黑客,拒付比特币的迪士尼只能请FBI出手了
- 中国黑客窃取律师事务所信息在股市获暴利 被处900万美元罚款
- 懵逼!因周末无人值班,这家银行被黑客一行代码改变了命运
- 有线电视的用户信息,成为美国黑客的新目标
- 日媒:信息安全迈向自动化 AI助人类抵御黑客
- JavaScript黑客是这样窃取比特币的,Vue开发者不用担心!
- CentOS 7搭建Cmatrix(黑客代码云)
- 遭黑客勒索的比特币,是货币吗?
- 我们直到今天也一直在打击黑客?然而并没有
- 二十款免费WiFi黑客(渗透测试)工具
- 亚洲黑客组织盯紧中国企业 利用小小视频攻陷高管
- 谷歌赏金大赛寻找能破解Nexus 6P和5X的黑客 最高奖金达20万美元
- 英国同意将激进黑客Lauri Love引渡美国接受审判
- https下 http的会被阻塞 This request has been blocked; the content must be served over HTTPS.
- 至少8个品牌的无线键盘可在76米开外被黑客监听