手机洁净、网站安适、网络加密，受打击方是资深网络安适专业人士，为何暗码分分钟内就丢了？

10月24日，在上海举行的极棒（GeekPwn）2019国际安适极客大赛上，清华-奇安信网络安适联合研究中心构成的参赛队伍（TQL）告成将同一局域网内的 HTTPS 网站二维码劫持，并劫持邮箱获取邮箱暗码。几位选手甚至在评委喊角逐开始几秒内就完成了挑战，而更令人惊讶的是，这竟然是一种无法被受害者察觉的打击。

凭借“最熟悉的陌生人：一种新型的HTTPS劫持技术”项目，清华-奇安信联合团队告成斩获本次大赛第一名，并且再次入选 GeekPwn 名人堂。

清华-奇安信联合研究中心参赛队员

据队员介绍，本次参赛队伍（TQL）成员来自奇安信集团技术研究院以及清华大学，他们将团队最新的研究成就带到角逐现场，演示了操作根本协议缺陷实施的一种新型的HTTPS加密流量劫持打击，在裁判和现场不雅观众的见证下，告成劫持了HTTPS环境下APP下载二维码和企业邮箱登录过程。

据了解，HTTPS协议是互联网最为重要的根本协议之一，甚至可以说HTTPS协议是支撑着互联网安适网络通信的根本，因此其安适问题恒久以来备受学术界和产业界的存眷。清华-奇安信安适联合研究中心恒久致力于HTTPS、DNS 等互联网根本协议安适的研究，本次披露的HTTPS相关根本协议缺陷，已确认影响到国表里众多知名厂商。

清华-奇安信联合研究中心参赛队员获奖分享

据参赛队员介绍，与传统的HTTPS劫持打击道理差别，本次披露的劫持技术无需HTTP明文协议的共同即可打击，即使用户访谒的方针网站部署了HTTPS的最佳实践法子，打击者仍然可以劫持篡改用户与网站之间的加密通信，可导致网站付出劫持、下载文件替换等严重的后果。

据悉，清华-奇安信安适联合研究中心与极棒组委会已启动“缝隙卖力任披露”流程，积极协助厂商修复相关缺陷、制止实际风险产生。同时，相关安适缺陷的检测防御方案已经部署到奇安信的安适解决方案及产品傍边，能够辅佐客户抵制HTTPS相关打击威胁。

清华-奇安信安适联合研究中心是清华大学网络研究院和奇安信集团配合创立的联合研究机构，结合清华大学和奇安信集团在学术研究和财富处事中的优势，面向世界学术和技术前沿开展研究，处事于国家和社会对网络空间安适的战略需求。研究团队在网络和系统安适攻防止围有丰富的经验，团队在国际四大*安适会议中发表多篇论文，在世界学术和产业界有广泛的影响力，曾多次披露DNS、HTTPS、CDN等互联网根本协议、根本设施的安适缺陷。这次参赛也是该团队继2015年披露“HTTPS未知协议缝隙”、2018年披露“通用协议缺陷导致DNS缓存污染打击”后再一次斩获极棒大奖。