黑客入侵Chrome和Firefox浏览器，利用TLS以追踪用户

LYA 看雪学院 2021-03-13

HTTPS、SSL和TLS协议逐渐成为物联网通讯的标配。

用加密传输来确保数据的安全性。

但是，世界各地的黑客总喜欢和开发人员较量，利用这些安全协议也成为一种常见的攻击手段。

修改浏览器追踪用户

近日，来自俄罗斯一个黑客团体将计就计，他们入侵用户的Web浏览器并进行修改，例如Chrome和Firefox，为加密流量添加所谓“指纹”功能，以实时跟踪用户和其使用的电脑。

黑客为受害者电脑增加了TLS协议，以用来执行中间人（MitM）攻击。MitM作为一种古老的网络攻击方式，在技术变化的浪潮中再次被使用。

黑客研究了 Firefox和Chrome浏览器，修改了其中的PRNG代码，并针对每个用户添加唯一的标识符，从而使TLS流量带有唯一的指纹，导致黑客能够轻易在网络上追踪来自受感染主机的加密流量。

Reducor本身不会执行MitM攻击，但是安装的证书可以帮助实现此目标，并使用“实时”的恶意变体替换合法的安装程序。

研究人员发现，当客户端安装程序的源头没有受到感染时，受害者却收到了受感染的版本，这一实践证实了MitM的存在。

影响

这次攻击被命名为Reductor，在今年4月被发现，这一做法需要较高的技术水平，这意味着黑客需要黑入Internet服务提供商和其网络。

目前，研究人员无法确定黑客是如何实现修改浏览器代码的，但可以确定的是黑客会在用户从官方来源下载浏览器时立即进行修改。

这一攻击带来的影响是令人恐惧的，修改浏览器代码使黑客不仅能够操控TLS流量，还能够远程访问受感染的计算机并上传和下载文件，或者执行恶意程序。

调查发现，Reductor与一个名为Tulsa的黑客组织相关，该组织与俄罗斯政府有联系，并参与了几起针对ISP的黑客事件。

*本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。