2010年9月14日星期二

Skype登录证书被劫持

上月在Skype的网页上登录,发现了一个非常值得警惕的现象,在https://login.skype.com页面,Chrome提示如下警告:

这表明所浏览网站的SSL证书有问题。

浏览器警告证书有问题的情况并不罕见,多数情况是因为证书不是由所用浏览器认可的权威证书颁发机构颁发的。比如Savannah使用的是CACert颁发的证书,而Firefox之类的浏览器没有内置CACert作为权威证书颁发机构,所以打开会有警告,但是据说Debian下的Iceweasel含了CACert作为CA。还有清华大学的校园网用户登录页面,一直在用一个2003年就过期了的无效证书。在试图下载微软Office 2010试用版的时候,我还头回碰到网页证书被颁发机构召回的情况。
但是Skype的安全登录页面出现问题,那得警惕了。我点击Chrome地址栏左边的红色骷髅,打开了网页的证书,发现是个叫bb-in.com的网站自颁发的证书,这显然不是个CA。另外,证书的授予对象是他们网站,而不是login.skype.com。

此时,我没有登录。当我用OpenVPN翻墙后再打开这个页面,没有安全警告,证书也是可信任的:

可惜当时没有对假冒的证书抓图,第二天就去出差了。等出差回来,再试验发现又没有这个问题了。

Skype安全登录的证书变成一个莫名的证书,但是用了VPN翻墙就好了。是中间有人故意作梗想偷窃用户隐私,还是仅仅是技术错误,我现在还没有足够的证据来分析。但是,这件事件让我进一步感到,在中国上网有着这么多的陷阱,让人防不胜防。对于刚刚上网的无知初级网民,他们何时才能知道这些陷阱呢?

顺便友情提醒,在国内上skype.com会自动跳转到tom.skype.com,上面提供的Skype是接受中国监控的,这一点Skype公司本身也承认的,所以千万不要去下载上面的Skype。要下载的话,翻墙后再上,就不会被跳转了。
------------------------------------
即兴送上腾迅公司的Gmail钓鱼页面:

5 条评论:

匿名 说...

我刚刚遇到了一模一样的问题,Google了一下找到了你这篇文章。我不懂技术,提供些我观察到的情况:

1. 上Skype.com正常(国际站,美国IP),没有被引导到Tom Skype。
2. 点击“Login”后,自动转至https,提示证书属于www.bb-in.com;
3. 用这个证书的登录页面IP为:114.255.209.142

我怀疑是钓鱼。

Peter Pan 说...

确实是钓鱼,你可以看看这篇

匿名 说...

图片来自blogspot啊,难怪无法加载呢。这篇好文我忍不住要转载啦,如果有觉得不妥的话,就到我网站告知我一下啊,我会立即删除的。

匿名 说...

忘记说啦,我的网站地址是www.yangjia.org

Peter Pan 说...

谢谢,转吧,不用客气。