Outlook在中国遭中间人攻击

网络监测组织GreatFire于1月17日收到了报告,指微软电邮系统outlook在中国遭中间人攻击(MITM)。此次攻击针对通过移动设备上的邮件客户端收发outlook邮件的人士。该组织怀疑,此次攻击是审查部门在测试防火墙技术。

当中国用户通过电子邮件客户端(Ice-dove)进入outlook时,可看到以下证书:

Greatfire的测试证实了outlook确实遭到攻击:IMAP(交互邮件访问协议)与SMTP(简单邮件传输协议)都遭受了中间人攻击。但网站界面(https://outlook.comhttps://login.live.com/)没有受到影响。

测试

为了在火狐浏览器中复制以上结果,我们首先在火狐中设置允许接入端口993,这也是IMAP所使用的端口。然后,我们登入https://imap-mail.outlook.com:993,立刻收到了警告信息。正如你在下图所看到的那样,这份证书是自我签名的(self-signed)。

下图可以看到Chrome中显示的证书错误。Chrome也被设置成允许通过端口993进行连接。

这次攻击持续了大约一天,现在已经停止。

这种形式的攻击尤其狡猾:相比于通过浏览器,用户通过电子邮件客户端所接收到的警告非常不明显,更容易被忽略。如下图:

(从iphone默认电邮客户端接收到的错误样本)

当客户端试图自动检索信息时,用户只能看见一个突然弹出的警告。因为用户没有主动检索信息,大多数的用户在点击“继续”之前不会细想,却忽视了警告信息、或把警告信息归咎于网络连线的故障。如果用户真的点击了“继续”,他(她)所有的邮件、通讯录、密码都会被黑客所窃取。

这次黑客攻击发生在Gmail被封锁之后的一个月之内(Gmail到现在仍然处于完全无法使用状态)。由于这次中间人攻击与之前对谷歌、苹果、雅虎等的攻击存在诸多相似之处,Greatfire再次怀疑,中国国家互联网信息办公室精心策划了这次袭击,或者有意允许袭击发生。这就意味着中国当局有意进一步打击他们无法容易监控的通信手段

至截稿为止,微软公司尚未对此事作出回应。

三个月前,针对苹果iCloud储存服务的中间人攻击促使苹果总裁库克亲自到中国与当局交涉。中国外交部新闻发言人随后否认了攻击,苹果也从未公开与中方的交涉结果。苹果后来创建了一个“中文帮助页面”来处理相似的问题,并将其称为“有组织的网络攻击”(organized network attacks)。

在苹果被攻击的同时,谷歌和雅虎也有经历类似的中间人攻击,微软outlook的网页版也曾在短时间内受攻击。当局似乎是在测试他们的中间人攻击技术,并搜集用户反应。通过追踪有多少用户忽视了警告信息,当局可以评估这类攻击的有效性。

GreatFire强烈建议用户,千万不要绕过证书提示的“错误信息”去点击“继续”

呼吁停止信任CNNIC证书

GreatFire怀疑国家网信办对此次黑客攻击outlook、以及其他几起类似的攻击负有直接责任。由于中国互联网信息中心(CNNIC)的直接主管部门是国家网信办,它所认证的安全证书也因此不值得信任。

GreatFire再次呼吁互联网公司和相关组织,包括微软和苹果,立即停止将CNNIC作为认证机构(certification authority)的信任

– CNNIC的证书有什么作用?

它可以用于初步地识别个人或设备的身份、鉴定服务、加密文件。

 什么是认证机构(certification authority: CA)?

认证机构是颁发证书的机构。他们建立和验证了公共密钥的鉴定系统,以及核实请求密钥的个人或组织的身份。

名词解释

Outlook.com与众多电邮服务一样,利用交互邮件访问协议(IMAP)与简单邮件传输协议(SMTP)来连接这些软件、客户端与电邮服务器,以便用户在不同设备上操作同一个电邮账户。

IMAP:Internet Message Access Protocol, 称作交互邮件访问协议。它是一个应用层协议,用来从电子邮件客户端访问远程服务器上的邮件。

SMTP:Simple Mail Transfer Protocol,称作简单邮件传输协议。它是一个基于文本协议,是事实上的在互联网传输邮件的标准。

MITM:Man-in-the-middle attack中间人攻击:攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。维基百科将中间人攻击的定义为一种“积极的监听”。

本文中文版由泡泡编译,英文版原载于GreatFire

原文:https://pao-pao.net/article/344

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s