谈谈网银和USB Key (五)

转自：http://apex.ncksoft.com/archives/273

好久没有写日志了，倒不是这段时间没有所思，而是思得太多，做的也更多，也就没有时间写了。好了，言归正传，下面我们接着说说《谈谈网银和USB Key (四)》 中最后提到的“带确定按键的USB Key仍然不够安全”的原因。

是的，带确定按键的USB Key可以做到每次使用硬件内部的私有密钥时都是持有者明确授权的（即持有者做了按下确认键的操作），但是不要忘记，你能保证被签名的数据就一定是你想要签名的数据吗？这句话听起来有点绕口，那么我们来举一个例子：

特别注明： 本文中所提到的商家、银行、地点、人物等均为举例方便而用，没有任何明确或隐含的意义。如有雷同，那一定是你踩到狗屎了~~~

假如你正在淘宝上买东西，购物车里塞满了满意的商品，终于，你决定购买了，于是开始下订单，但是发现你的淘宝账户上余额不足。这是个小问题，因为我们可以 立即使用网上银行转账到淘宝账户上。OK，你来到支付宝，选择已经开通了网上银行功能的银行，然后点击“现在就转账”，终于进入了网上银行转账的页面。

……其实，以上都是废话，因为我们不过是要提到网银转账的页面而已。不过，这可是我使用淘宝的真实流程哦……

在网银的转账页面上，一般需要提供三个信息：你的账户、对方账户以及转账金额。其中，你的账户是你在登陆网银时就隐含提供了，对方账户则需要你填写 （如果是向淘宝这样的商家转账，网上支付系统会自动填写），转账金额也要你填写（当然，如果是向一些商家转账，网上支付系统也会自动填写）。现在你小心翼 翼的填好了所有的内容，并仔细的检查了三遍，一切无误，可以转账了。于是你点下“转账”按钮，网页上提示：请按USB Key的确认键以继续转账操作。当然，因为一切无误，所以你按下了确认键，然后系统提示你：转账已成功！

好了，现在回到淘宝网站，下单吧~~~ :) 等等，为什么淘宝还是提示你余额不足？！无奈之下你只好给银行客服人员打电话，在核对了你的身份之后，你终于等来了一个噩耗，客服MM用甜美的声音告诉 你：对不起，我们的系统记录显示，您刚才确实有一次网上交易的操作，不过对方账号的开户行位于广州，是由一位名为“贺爱客”的先生持有的私人账号。[题外 话：招商银行信用卡部的客服MM服务真的是一流，业务熟练，声音甜美，而民生银行方面就稍微逊色一些，一个小问题也要等她跟技术方面确认才能回答，希望这 只是个例]

“贺爱客”？！鬼知道这是个什么人物，怎么你的钱就转给他了呢？现在你的脑袋里一片空白~~~~

……好了，不用空白了，让我来告诉你发生了什么事吧！通过远程注入、恶意浏览器插件、函数挂钩等诸多手段，你所填写的数据在准备送给USB Key进行数字签名之前的刹那，被修改了！对方账户不再是淘宝，而是“贺爱客”。然而USB Key本身并无法得知你要给谁转账，它只能机械的等待你确认，然后对传入的数据进行签名。从电脑屏幕上来看，数据一切正常，但是到了USB Key内部，就已经大不一样了。这正是三十六计之中的“偷梁换柱 ”。咳~~咳咳~~~不要把老祖宗留下来的好东西拿来干坏事啊！

偷梁换柱并不是什么困难的事情，最简单的就是使用浏览器插件。尤其是对于IE这种“公共厕所”级别的浏览器，随便谁都可以过来插一脚。曾经有朋友向 我抱怨电脑上网越来越慢了，我检查了一下他的系统，发现IE中加载了几十个插件：三个工具栏插件、十几个用于网上看电影的插件、两个网银用到的插件、四个 下载加速插件、PDF阅读插件、金山词霸插件、还有七八个不知道是什么东西的插件。我问他为什么装这么多插件，他还一头雾水的问我，插件是虾米东东？？

难道说，在这样一个饿狼环伺，危险重重的恶劣网络环境下，我们就无法安全的使用网上银行，享受足不出户就能指点天下的便捷吗？

请听下回分解…

评论

1 楼 fy616508150 2011-03-04  

看得好有味。。就断了，楼主赶紧的～
接下来的ukey是 不是带显示的，能够显示交易指向