近日,阿里安全团队与美国印第安纳大学伯明顿分校的联合研究团队,成功揭示了一种极具隐蔽性的新型安全威胁。该威胁仅需一封精心设计的恶意邮件,就能在 macOS 和 iOS 系统中引发灾难性的系统崩溃。这一突破性发现的核心,在于畸形的 X.509 证书被攻击者巧妙利用,通过触发密码算法库中的拒绝服务(DoS)漏洞,实现对操作系统的远程控制。X.509 证书作为互联网通信的基石,承担着验证身份与保障数据安全的双重使命。它们如同数字世界的“身份证”,由权威机构颁发,确保通信双方的真实性以及信息传输的机密性。然而,这项研究首次揭示了这些关键证书在处理过程中可能存在的致命缺陷。
研究人员对 OpenSSL、Bouncy Castle 等六个主流开源密码库进行了全面测试,发现了18个此前未被记录的新漏洞,并确认了12个已知漏洞的存在。攻击者可以通过发送名为“香蕉邮件”的恶意邮件,其中包含经过特殊构造的畸形 X.509 证书,诱导用户系统在解析证书时陷入无限循环,最终导致系统资源耗尽,出现完全无响应的状态。这一威胁的严重性不容小觑,因为现代操作系统高度依赖这些证书进行应用程序的签名验证。一旦系统崩溃,不仅受影响的程序将无法运行,其他依赖该系统的应用程序也可能遭受连带损害,给用户带来极大的不便。
该研究团队特别指出,当前的安全研究领域往往过度关注攻击技术本身,而忽视了系统可用性这一重要维度。他们的工作首次从可用性角度出发,对 X.509 证书的潜在风险进行了系统性的分析。为了有效应对这一威胁,研究团队开发了一款名为 X.509DoSTool 的自动化检测工具,能够快速生成畸形证书并精准识别加密库中的 DoS 漏洞。此外,他们还提出了多种切实可行的缓解策略,旨在增强系统的抗攻击能力。这一研究成果已成功亮相于 USENIX Security’25 会议,并荣获“黑客界奥斯卡”的提名,充分彰显了其学术价值与现实意义。面对日益复杂的网络安全形势,无论是普通用户还是技术开发者,都应提高安全意识,密切关注这些潜在的风险因素,共同构建更安全的数字环境。
