软件设计自动更新将存在致命安全隐患

对于科技新闻界来说,重大问题已经相当多了,这也是意料之中的事情;但我想讨论的是一个似乎没有被任何人注意的话题。如果我的看法是正确的话,它将是一个巨大的潜在威胁。

公司主营业务:成都做网站、网站制作、成都外贸网站建设、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。成都创新互联公司是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联公司推出普陀免费做网站回馈大家。

通常情况下,当计算机应用程序配置为自动更新的时间,人们会很高兴,并不再那么担心了。但现在,这种情况可能会有所改变。如果攻击者可以劫持更新请求,并下载恶意软件来代替更新的话,会发生什么样的情况呢?

来见识一下Ippon

我想向你介绍由Radware的安全团队主管伊奇克·科特勒和安全研究员托夫勒·比顿共同开发的一种叫做Ippon(日语“完蛋了”的意思)的攻击软件。Ippon采用的就是一种非常独特的创意,我相信大部分人都不会想到这中情况。

Ippon的工作原理

Ippon可以寻找计算机发出的更新请求并尝试利用恶意软件予以代替。Ippon受到关注的一个重要原因是,大多数应用程序都设置为自动检查更新。科特勒和比顿成功地实现了在开放的无线网络上对通过超文本传输协议(HTTP)传输的更新请求流量进行搜索。当流量被发现,Ippon可以制造出堵塞的情况,看看是否可以让恶意软件比更新服务器更快地进行响应。

如果Ippon成功了,一条信息将会被发送到应用程序那里,通知它存在可用的更新,尽管实际情况并非如此。为了避免使自已遭到质疑,科特勒和比顿建立了一个参考环境,让Ippon可以象现实环境一样进行响应。一旦连接建立完成,恶意软件就会被从攻击者的服务器上下载,一切就都完蛋了。

脆弱的更新进程

在一次通过Ippon进行的非正式测试中,科特勒和比顿确定了有大约超过一百个应用都很容易受到攻击,不过他们并没有提到这些应用的具体情况。值得庆幸的是其中没有包含微软的应用。所有的微软更新都包含了数字签名,因此并不能被欺骗。实际上,这已经指出了应用程序防范来自Ippon攻击的办法。

预防措施

一些解决方案看上去也是比较明显的。举例来说,不使用开放的无线网络。或者,在连接到开放的无线网络上时,不进行系统更新。对于所有人来说,这些解决方案都是显而易见的。

但对于在后台自动更新的应用程序,我们应该怎么办?通常情况下,只有更新完成了,我们才会得到提示。从技术角度考虑,使用开放的无线网络时,避免来自Ippon的攻击的唯一方法就是选择使用一条安全的VPN通道。

一位朋友建议我提一下使用Secunia PSI进行主动更新。我认为即使Ippon不存在的话,这也是个好主意。不过,我还是要破除虚假的安全感,不要忽视定期自动更新带来的安全问题。

最后的思考

在我撰写这篇文章的时间,Ippon已经发布了,所以现在仅仅是个时间问题了。我向包括奥多比在内的几家主要应用软件开发商发送了电子邮件,并留下了语音信息。当了解到它们的更新是否使用了数字签名后,我将根据实际情况对本文进行更新。

还有最后一个问题。科特勒和比顿选择无线网络,是因为它属于最简单的攻击载体。如果Ippon可以支持有线网络的话,情况会变成什么样子?

新闻标题:软件设计自动更新将存在致命安全隐患
标题来源:http://www.shufengxianlan.com/qtweb/news7/309307.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联