研究人員稱API漏洞暴露了賽門鐵克證書，包括證書私鑰

事件概述

安全研究專家ChrisByrne在其周五發布的一篇研究報告中稱，賽門鐵克合作夥伴所使用的應用程序編程介面（API）中存在安全漏洞，而這些安全缺陷將允許攻擊者非法獲取包括私鑰在內的用戶憑證。

這名研究專家表示，他早在2015年就已經發現了這個安全問題，而且當時他也將漏洞信息上報給了賽門鐵克公司。由於賽門鐵克當時聲稱修復這個漏洞至少需要花費兩年的時間，因此他也同意遵守該公司的「保密政策」，即賽門鐵克要求Byrne不得向公共披露有關此漏洞的內容。

Byrne在其發表的文章中說到：「如果我認為這是非常有必要的話，我也很願意遵守他們的漏洞保密政策，但是如果我不披露這個漏洞，那麼我覺得自己對客戶又有些不負責任了。比如說，如果這個漏洞威脅到了國家安全，如果我發現了一個被入侵的客戶，或者很多攻擊者開始利用這個漏洞來實施網路犯罪的話，那麼又有誰能夠站出來保護用戶的安全呢？」

API漏洞將泄漏賽門鐵克證書，包括私鑰在內

根據Byrne的研究報告，賽門鐵克證書零售商所使用的賽門鐵克API中存在一個嚴重的安全漏洞，而這個漏洞將允許不法分子在未經授權的情況下訪問其他用戶的證書數據。Byrne寫到：「你只需要在一封釣魚郵件中嵌入一條惡意鏈接，當用戶點擊了這條釣魚鏈接之後，你就可以獲取到他的證書內容、撤銷證書、並重新頒發證書。」

研究人員表示，某些技術能力較強的客戶可能很容易就會發現他們可以修改郵件鏈接中的一個參數，然後訪問另一個賬號的詳細內容或執行某些其他的操作。因為API伺服器在用戶訪問證書信息之前並不會對用戶的身份進行驗證，而攻擊者就可以輕而易舉地利用這個漏洞來實現自動化攻擊，並竊取賽門鐵克用戶的數據，然後通過這些數據來識別出攻擊價值更高的用戶。

除此之外，這個漏洞還將允許攻擊者獲取目標用戶的證書內容，當攻擊者獲取到用戶證書之後，他們就可以利用這些數據來發動中間人攻擊（MitM）、攔截用戶的在線購物信息、或者利用軟體伺服器向用戶發送偽造的更新請求。當然了，我們在此只能列舉一部分攻擊，攻擊者所能進行的惡意操作還遠不止這些。

Byrne表示，除了那些從第三方機構購買賽門鐵克證書的用戶之外，那些直接從賽門鐵克公司購買證書的用戶同樣會受到這個問題的影響，雖然他們沒有使用賽門鐵克的API，但是他們在申請證書的過程中會使用到賽門鐵克客戶端的用戶介面。

賽門鐵克目前僅修復了部分安全問題

Byrne在文章中提到，由於目前已經有很多通過漏洞介面進行管理的證書受到了這個安全問題的影響，因此賽門鐵克公司也承諾會在六個月內找出並更換所有相關的證書。除此之外，賽門鐵克公司也承諾會在兩年內更換所有用戶的證書，並確保不會再有用戶會受到該問題的影響。

Byrne在接受媒體記者採訪時表示，就在他將這個問題上報給賽門鐵克公司之後，他又花了好幾個月的時間來測試賽門鐵克的基礎設施，而賽門鐵克公司目前只修復了其中的部分問題，而並沒有完全解決所有問題。

Byrne：我將非常謹慎地對待所有與賽門鐵克證書有關的網站

在此之後，Byrne也沒有再對賽門鐵克的基礎設施進行測試了。就在Google公司正式對外宣布Chrome瀏覽器將會逐步取消對賽門鐵克證書的信任之後，他決定將他的研究發現公之於眾。

Byrne目前還不能確定Google工程師所發現的是否是同一漏洞，但無論怎樣，賽門鐵克在證書管理方面的安全工作確實做的非常糟糕。