对于科技新闻界来说,重大问题已经相当多了,这也是意料之中的事情;但我想讨论的是一个似乎没有被任何人注意的话题。如果我的看法是正确的话,它将是一个巨大的潜在威胁。
通常情况下,当计算机应用程序配置为自动更新的时间,人们会很高兴,并不再那么担心了。但现在,这种情况可能会有所改变。如果攻击者可以劫持更新请求,并下载恶意软件来代替更新的话,会发生什么样的情况呢?
来见识一下Ippon
我想向你介绍由Radware的安全团队主管伊奇克·科特勒和安全研究员托夫勒·比顿共同开发的一种叫做Ippon(日语“完蛋了”的意思)的攻击软件。Ippon采用的就是一种非常独特的创意,我相信大部分人都不会想到这中情况。
Ippon的工作原理
Ippon可以寻找计算机发出的更新请求并尝试利用恶意软件予以代替。Ippon受到关注的一个重要原因是,大多数应用程序都设置为自动检查更新。科特勒和比顿成功地实现了在开放的无线网络上对通过超文本传输协议(HTTP)传输的更新请求流量进行搜索。当流量被发现,Ippon可以制造出堵塞的情况,看看是否可以让恶意软件比更新服务器更快地进行响应。
如果Ippon成功了,一条信息将会被发送到应用程序那里,通知它存在可用的更新,尽管实际情况并非如此。为了避免使自已遭到质疑,科特勒和比顿建立了一个参考环境,让Ippon可以象现实环境一样进行响应。一旦连接建立完成,恶意软件就会被从攻击者的服务器上下载,一切就都完蛋了。
脆弱的更新进程
在一次通过Ippon进行的非正式测试中,科特勒和比顿确定了有大约超过一百个应用都很容易受到攻击,不过他们并没有提到这些应用的具体情况。值得庆幸的是其中没有包含微软的应用。所有的微软更新都包含了数字签名,因此并不能被欺骗。实际上,这已经指出了应用程序防范来自Ippon攻击的办法。
预防措施
一些解决方案看上去也是比较明显的。举例来说,不使用开放的无线网络。或者,在连接到开放的无线网络上时,不进行系统更新。对于所有人来说,这些解决方案都是显而易见的。
但对于在后台自动更新的应用程序,我们应该怎么办?通常情况下,只有更新完成了,我们才会得到提示。从技术角度考虑,使用开放的无线网络时,避免来自Ippon的攻击的唯一方法就是选择使用一条安全的VPN通道。
一位朋友建议我提一下使用Secunia PSI进行主动更新。我认为即使Ippon不存在的话,这也是个好主意。不过,我还是要破除虚假的安全感,不要忽视定期自动更新带来的安全问题。
最后的思考
在我撰写这篇文章的时间,Ippon已经发布了,所以现在仅仅是个时间问题了。我向包括奥多比在内的几家主要应用软件开发商发送了电子邮件,并留下了语音信息。当了解到它们的更新是否使用了数字签名后,我将根据实际情况对本文进行更新。
还有最后一个问题。科特勒和比顿选择无线网络,是因为它属于最简单的攻击载体。如果Ippon可以支持有线网络的话,情况会变成什么样子?
