談談網銀和USB Key (五)

談談網銀和USB Key (五)

轉自：http://apex.ncksoft.com/archives/273

好久沒有寫日誌了，倒不是這段時間沒有所思，而是思得太多，做的也更多，也就沒有時間寫了。好了，言歸正傳，下面我們接着說說《談談網銀和USB Key (四)》 中最後提到的“帶確定按鍵的USB Key仍然不夠安全”的原因。

是的，帶確定按鍵的USB Key可以做到每次使用硬件內部的私有密鑰時都是持有者明確授權的（即持有者做了按下確認鍵的操作），但是不要忘記，你能保證被簽名的數據就一定是你想要簽名的數據嗎？這句話聽起來有點繞口，那麼我們來舉一個例子：

特別註明： 本文中所提到的商家、銀行、地點、人物等均爲舉例方便而用，沒有任何明確或隱含的意義。如有雷同，那一定是你踩到狗屎了~~~

假如你正在淘寶上買東西，購物車裏塞滿了滿意的商品，終於，你決定購買了，於是開始下訂單，但是發現你的淘寶賬戶上餘額不足。這是個小問題，因爲我們可以 立即使用網上銀行轉賬到淘寶賬戶上。OK，你來到支付寶，選擇已經開通了網上銀行功能的銀行，然後點擊“現在就轉賬”，終於進入了網上銀行轉賬的頁面。

……其實，以上都是廢話，因爲我們不過是要提到網銀轉賬的頁面而已。不過，這可是我使用淘寶的真實流程哦……

在網銀的轉賬頁面上，一般需要提供三個信息：你的賬戶、對方賬戶以及轉賬金額。其中，你的賬戶是你在登陸網銀時就隱含提供了，對方賬戶則需要你填寫 （如果是向淘寶這樣的商家轉賬，網上支付系統會自動填寫），轉賬金額也要你填寫（當然，如果是向一些商家轉賬，網上支付系統也會自動填寫）。現在你小心翼 翼的填好了所有的內容，並仔細的檢查了三遍，一切無誤，可以轉賬了。於是你點下“轉賬”按鈕，網頁上提示：請按USB Key的確認鍵以繼續轉賬操作。當然，因爲一切無誤，所以你按下了確認鍵，然後系統提示你：轉賬已成功！

好了，現在回到淘寶網站，下單吧~~~ :) 等等，爲什麼淘寶還是提示你餘額不足？！無奈之下你只好給銀行客服人員打電話，在覈對了你的身份之後，你終於等來了一個噩耗，客服MM用甜美的聲音告訴 你：對不起，我們的系統記錄顯示，您剛纔確實有一次網上交易的操作，不過對方賬號的開戶行位於廣州，是由一位名爲“賀愛客”的先生持有的私人賬號。[題外 話：招商銀行信用卡部的客服MM服務真的是一流，業務熟練，聲音甜美，而民生銀行方面就稍微遜色一些，一個小問題也要等她跟技術方面確認才能回答，希望這 只是個例]

“賀愛客”？！鬼知道這是個什麼人物，怎麼你的錢就轉給他了呢？現在你的腦袋裏一片空白~~~~

……好了，不用空白了，讓我來告訴你發生了什麼事吧！通過遠程注入、惡意瀏覽器插件、函數掛鉤等諸多手段，你所填寫的數據在準備送給USB Key進行數字簽名之前的剎那，被修改了！對方賬戶不再是淘寶，而是“賀愛客”。然而USB Key本身並無法得知你要給誰轉賬，它只能機械的等待你確認，然後對傳入的數據進行簽名。從電腦屏幕上來看，數據一切正常，但是到了USB Key內部，就已經大不一樣了。這正是三十六計之中的“偷樑換柱 ”。咳~~咳咳~~~不要把老祖宗留下來的好東西拿來幹壞事啊！

偷樑換柱並不是什麼困難的事情，最簡單的就是使用瀏覽器插件。尤其是對於IE這種“公共廁所”級別的瀏覽器，隨便誰都可以過來插一腳。曾經有朋友向 我抱怨電腦上網越來越慢了，我檢查了一下他的系統，發現IE中加載了幾十個插件：三個工具欄插件、十幾個用於網上看電影的插件、兩個網銀用到的插件、四個 下載加速插件、PDF閱讀插件、金山詞霸插件、還有七八個不知道是什麼東西的插件。我問他爲什麼裝這麼多插件，他還一頭霧水的問我，插件是蝦米東東？？

難道說，在這樣一個餓狼環伺，危險重重的惡劣網絡環境下，我們就無法安全的使用網上銀行，享受足不出戶就能指點天下的便捷嗎？

請聽下回分解…