近期,阿里巴巴安全部门携手美国印第安纳大学伯明顿校区,披露了一项关于网络安全的重大发现:仅仅通过一封含有特殊构造的恶意邮件,即可致使macOS与iOS设备瞬间崩溃。这一惊人发现的根源在于被异常操控的X.509证书,这些被恶意利用的证书能够在密码算法库中激活拒绝服务(DoS)攻击漏洞。
X.509证书,作为互联网生态中验证身份及保障数据传输安全的基石,扮演着“数字身份证”的角色,由权威机构颁发,确保通信双方身份的真实性和信息交流的保密性。然而,阿里巴巴安全团队的研究揭示,这些证书在处理流程中可能成为黑客的攻击目标。
科研人员对包括OpenSSL和Bouncy Castle在内的六大主流开源密码库实施了深入测试,结果发现了18个新型漏洞,并确认了12个已知漏洞的存在。通过发送内含特殊构造X.509证书的恶意邮件(被形象地称为“香蕉邮件”攻击),攻击者能够诱使用户设备在处理这些证书时资源耗尽,进而引发系统崩溃。
这一问题的严重性不容小觑,因为现代操作系统依赖这些证书进行应用程序的签名验证。一旦攻击得手,系统中的其他应用将无法执行,给用户带来极大困扰。研究团队指出,过往的安全研究大多忽视了可用性方面的问题,而他们的探索首次系统性地聚焦于这一领域。
为了应对这一新威胁,科研人员开发了一款名为X.509DoSTool的自动化工具,它能迅速生成特殊构造的证书,并检测密码库中的DoS漏洞。他们还提出了一系列缓解措施,以增强系统的防护能力。
该研究成果已在USENIX Security’25大会上亮相,并荣获“黑客界奥斯卡”奖项提名,彰显了其重要价值与广泛影响。随着网络安全挑战的日益复杂,用户和开发者都应保持高度警觉,密切留意这些潜在的安全隐患。
