Symantec API漏洞：黑客可竊取私人SSL密鑰及證書

上周末，Cloud Harmonics的信息安全顧問Chris Byrne 在Facebook發布了一篇文章，主要披露了賽門鐵克公司用於提供和管理Symantec SSL證書流程和第三方API中的一些嚴重問題。這些漏洞如果被黑客利用，將允許攻擊者訪問公鑰和私鑰，以及重新頒發或撤銷證書。

Chris Byrne表示，這些問題可能允許未經驗證的攻擊者檢索其他人的SSL證書，包括公鑰、私鑰、重新頒發或撤銷這些證書。即使沒有撤銷和重新頒發證書，攻擊者也可以使用盜取的SSL證書對安全連接進行攻擊，篡改並截獲SSL流量，誘騙用戶進入釣魚網站，並讓他們相信這是一個安全合法的網站。

Byrne於文章中指出，他在2015年就發現了賽門鐵克的證書問題，當時也反饋到賽門鐵克公司並承若不泄露這些問題，而賽門鐵克回應稱，需要將近兩年的時間才能解決。

然而就在上周，谷歌透露他們打算棄用並刪除賽門鐵克頒發的證書的信任，這才導致Byrne公開曝光這些問題來引起人們的重視，同時譴責賽門鐵克未能及時向人們提供有關這些問題的措施。

對此，賽門鐵克近日回應了關於API和證書漏洞的問題，並於聲明中指出：「我們研究了Chris

Byrne的報告，發現這並不是一個值得重現的問題，我們希望能獲得更多2015年的原始研究和最新數據，來證明漏洞的危害性;此外，我們並沒有收到全世界任何用戶的相關投訴。我們相信，在技術上是不可能實現私有密鑰被訪問的問題的，此外，我們歡迎任何有助於改善安全性的反饋意見。」