Skype登录证书被劫持

来源:http://blog.fatduck.org/2010/09/skype.html

上月在Skype的网页上登录,发现了一个非常值得警惕的现象,在https://login.skype.com页面,Chrome提示如下警告:

这表明所浏览网站的SSL证书有问题。

浏览器警告证书有问题的情况并不罕见,多数情况是因为证书不是由所用浏览器认可的权威证书颁发机构颁发的。比如Savannah使用的是CACert颁发的证书,而Firefox之类的浏览器没有内置CACert作为权威证书颁发机构,所以打开会有警告,但是据说Debian下的Iceweasel含了CACert作为CA。还有清华大学的校园网用户登录页面,一直在用一个2003年就过期了的无效证书。在试图下载微软Office 2010试用版的时候,我还头回碰到网页证书被颁发机构召回的情况。
但是Skype的安全登录页面出现问题,那得警惕了。我点击Chrome地址栏左边的红色骷髅,打开了网页的证书,发现是个叫bb-in.com的网站自颁发的证书,这显然不是个CA。另外,证书的授予对象是他们网站,而不是login.skype.com

此时,我没有登录。当我用OpenVPN翻墙后再打开这个页面,没有安全警告,证书也是可信任的:

可惜当时没有对假冒的证书抓图,第二天就去出差了。等出差回来,再试验发现又没有这个问题了。

Skype安全登录的证书变成一个莫名的证书,但是用了VPN翻墙就好了。是中间有人故意作梗想偷窃用户隐私,还是仅仅是技术错误,我现在还没有足够的证 据来分析。但是,这件事件让我进一步感到,在中国上网有着这么多的陷阱,让人防不胜防。对于刚刚上网的无知初级网民,他们何时才能知道这些陷阱呢?

顺便友情提醒,在国内上skype.com会自动跳转到tom.skype.com,上面提供的Skype是接受中国监控的,这一点Skype公司本身也承认的,所以千万不要去下载上面的Skype。要下载的话,翻墙后再上,就不会被跳转了。
------------------------------------
即兴送上腾迅公司的Gmail钓鱼页面:

―――――――――――――――――――――――――――――――――――――――――

需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com

请阅读和关注中国数字时代翻墙技术博客GFW BLOG(免翻墙)

请使用Google Reader订阅中国数字时代中文版http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。


没有评论: