谈谈网银和USB Key (五)
转自:http://apex.ncksoft.com/archives/273
好久没有写日志了,倒不是这段时间没有所思,而是思得太多,做的也更多,也就没有时间写了。好了,言归正传,下面我们接着说说《谈谈网银和USB Key (四)》 中最后提到的“带确定按键的USB Key仍然不够安全”的原因。
是的,带确定按键的USB Key可以做到每次使用硬件内部的私有密钥时都是持有者明确授权的(即持有者做了按下确认键的操作),但是不要忘记,你能保证被签名的数据就一定是你想要签名的数据吗?这句话听起来有点绕口,那么我们来举一个例子:
特别注明:
本文中所提到的商家、银行、地点、人物等均为举例方便而用,没有任何明确或隐含的意义。如有雷同,那一定是你踩到狗屎了~~~
假如你正在淘宝上买东西,购物车里塞满了满意的商品,终于,你决定购买了,于是开始下订单,但是发现你的淘宝账户上余额不足。这是个小问题,因为我们可以
立即使用网上银行转账到淘宝账户上。OK,你来到支付宝,选择已经开通了网上银行功能的银行,然后点击“现在就转账”,终于进入了网上银行转账的页面。
……其实,以上都是废话,因为我们不过是要提到网银转账的页面而已。不过,这可是我使用淘宝的真实流程哦……
在网银的转账页面上,一般需要提供三个信息:你的账户、对方账户以及转账金额。其中,你的账户是你在登陆网银时就隐含提供了,对方账户则需要你填写 (如果是向淘宝这样的商家转账,网上支付系统会自动填写),转账金额也要你填写(当然,如果是向一些商家转账,网上支付系统也会自动填写)。现在你小心翼 翼的填好了所有的内容,并仔细的检查了三遍,一切无误,可以转账了。于是你点下“转账”按钮,网页上提示:请按USB Key的确认键以继续转账操作。当然,因为一切无误,所以你按下了确认键,然后系统提示你:转账已成功!
好了,现在回到淘宝网站,下单吧~~~ :) 等等,为什么淘宝还是提示你余额不足?!无奈之下你只好给银行客服人员打电话,在核对了你的身份之后,你终于等来了一个噩耗,客服MM用甜美的声音告诉 你:对不起,我们的系统记录显示,您刚才确实有一次网上交易的操作,不过对方账号的开户行位于广州,是由一位名为“贺爱客”的先生持有的私人账号。[题外 话:招商银行信用卡部的客服MM服务真的是一流,业务熟练,声音甜美,而民生银行方面就稍微逊色一些,一个小问题也要等她跟技术方面确认才能回答,希望这 只是个例]
“贺爱客”?!鬼知道这是个什么人物,怎么你的钱就转给他了呢?现在你的脑袋里一片空白~~~~
……好了,不用空白了,让我来告诉你发生了什么事吧!通过远程注入、恶意浏览器插件、函数挂钩等诸多手段,你所填写的数据在准备送给USB Key进行数字签名之前的刹那,被修改了!对方账户不再是淘宝,而是“贺爱客”。然而USB Key本身并无法得知你要给谁转账,它只能机械的等待你确认,然后对传入的数据进行签名。从电脑屏幕上来看,数据一切正常,但是到了USB Key内部,就已经大不一样了。这正是三十六计之中的“偷梁换柱 ”。咳~~咳咳~~~不要把老祖宗留下来的好东西拿来干坏事啊!
偷梁换柱并不是什么困难的事情,最简单的就是使用浏览器插件。尤其是对于IE这种“公共厕所”级别的浏览器,随便谁都可以过来插一脚。曾经有朋友向 我抱怨电脑上网越来越慢了,我检查了一下他的系统,发现IE中加载了几十个插件:三个工具栏插件、十几个用于网上看电影的插件、两个网银用到的插件、四个 下载加速插件、PDF阅读插件、金山词霸插件、还有七八个不知道是什么东西的插件。我问他为什么装这么多插件,他还一头雾水的问我,插件是虾米东东??
难道说,在这样一个饿狼环伺,危险重重的恶劣网络环境下,我们就无法安全的使用网上银行,享受足不出户就能指点天下的便捷吗?
请听下回分解…