安全龙虾暴露通配符证书漏洞

360近期推出的「安全龙虾」安全产品被发现存在重大安全缺陷。其本地安装目录中包含*.myclaw.360.cn的通配符域名证书及对应私钥,该配置用于支持基于定制版360浏览器的本地HTTPS访问。

本地HTTPS连接引发信任危机

安全龙虾通过https://myclaw.360.cn:19798/地址实现本地通信,为保障连接加密,工程师将通配符证书与私钥直接嵌入客户端。由于该证书覆盖所有子域名,一旦私钥泄露,攻击者可伪造任意子域名的合法HTTPS连接,严重威胁用户数据安全。

证书未及时吊销仍存风险

尽管360 SRC团队回应称此问题为内部已知,且正在处理,但截至目前,相关证书仍未被吊销,系统仍可能接受伪造的加密连接,用户设备面临潜在中间人攻击风险。