SSL/TLS是用于保证信息在互联网上被安全传递的一种协议,通过加密手段和证书验证,SSL证书的使用可以让中间人攻击变得非常困难。也就是说,如果攻击者想要嗅探目标用户的流量,那么他就必须先拿SSL证书开刀。有趣的是,机上互联网服务提供商Gogo却对他们的用户用起了这一手段!Google Chrome安全团队的Adrienne Porter Felt发现,当其通过Gogo来访问Google网站的时候,竟然被伪造的Google证书所愚弄了。 如上图所示,这份证书其实并非Google所颁布,而是被Gogo自己代劳了。 考虑到Gogo为诸多航空公司提供机上互联网接入服务,而其客户又包括了多个国家的航空公司和国际航班(如墨西哥航空、美国航空、加拿大航空、日本航空、以及维珍大西洋航空等),此举显然是“不可接受”的。 今年早些时候,该公司透露其已与FCC达成了合作,以便为执法机构提供基于联邦法律之下的便利,其中更是提到了他们是如何紧密合作,甚至直接在其服务中暗藏间谍软件等举措。 或许你觉得这不会怎样,但是事情的后果可能会非常严重,因为Gogo等同于剥夺了用户的所有防线。此外,根据他们的历史表现,我们毫无理由相信它们此举是正当的。 显然,Gogo非常欢快地与政府支付部门、甚至未透露身份的“第三方”挖掘用户数据,这样的行为早已超出了所有人的预料。 除了机上互联网服务,Gogo也为用户提供机上短信和语音信箱服务,但几乎毫无疑问,该公司肯定无法对用户隐私给予足够的尊重。 如果你在过去曾使用过Gogo的机上服务,请务必慎重考虑你的SSL/TLS通信是否有泄露的可能,或者至少——请重置你的Google服务密码。 如果你未来仍不得不使用,也请考虑使用更加安全的通讯加密手段,比如最近又火热起来的“佛跳墙”和“八仙过海”等名词新解。 [编译自:Neowin]
