samiux.github.io

Infosec Ninjas 资安忍者

View on GitHub
Home Projects Articles Apophthegm About

「好心做壞事」?

事源谷歌(Google)領頭在其瀏覽器中實施如果網站並非使用加密證書(TLS)的話,就會被標示為不安全。這措施看似沒有不良後果,但其實隱藏了很大的危機。

現在有很多惡意網站或不良企圖網站都會配備加密證書以逃避瀏覽器的標示而降低用戶的警覺性。因為瀏覽器錯誤地對加密證書用處的演繹而令大部份用戶有所誤解,認為只要網站有加密證書的就是安全的網站。

再加上大部份的入侵防禦系統不能過濾已經被加密的信息或流量,所以其風險極高。

現有一個例子,就是聲稱可以將 Whatsapp 轉變顏色的網址 (https[://]colormywhatsapp[.]com 或 http[://]colormywhatsapp[.]com)。此網址在桌面電腦中開啟時會跳轉到一個提供法拉利背景的 Chrome 擴展(Extension);而在蘋果手機或安卓手機中開啟時就會進入一個要求你在分享後才可激活的轉變顏色的功能。當然在分享後其功能是不能被激活的。

我並未進一步硏究這惡意網站的意圖,所以我暫時未知分享後和激活按鈕被按後有何後果。

Samiux
OSCE OSCP OSWP
二零二零年四月十七日,中國香港

Home Projects Articles Apophthegm About