研究人员近日披露名为"负鼠攻击（Opossum Attack）"的负鼠新型失步漏洞，该漏洞利用HTTP、攻击FTP、新型SMTP等应用层协议中隐式TLS（Transport Layer Security
，漏洞传输层安全协议）与机会型TLS共存的威胁安全缺陷。攻击者借此可破坏加密连接的加接可击数据注完整性，免费模板甚至能绕过最先进的密连TLS实现方案——且无需依赖具体实现中的程序错误
。

"这种认证缺陷可被利用来从纯中间人（MitM）位置影响TLS握手后的实施消息交换
 。"研究团队警告称。中间

图 ：研究人员展示HTTPS协议遭受负鼠攻击场景

多数互联网协议最初采用明文传输，高防服务器后期才引入加密机制 。负鼠目前主要存在两种加密实现方式 ：

当客户端与服务器对加密方式认知不一致时——尤其当一方支持机会型TLS而另一方使用隐式TLS时，负鼠攻击便有机可乘。新型这种错配使得中间人（MitM）攻击者可制造通信失步状态 ，漏洞诱使受害者将恶意响应误认为合法数据 。威胁

实验演示中，云计算受害者请求/cat.html却收到/dog.html的响应，浏览器错误地接受了该响应。这种错位将持续破坏后续通信。"攻击者可利用该缺陷注入精心构造的（恶意）请求，最终（恶意）响应将通过安全TLS通道传送至网页浏览器 。"研究人员解释道。源码库

研究团队在HTTPS协议中验证了四种主要攻击路径 ：

研究人员通过IPv4全网扫描发现 ：

支持机会型HTTP的常见软件包括
：

研究团队强烈建议全面弃用机会型TLS协议 ，指出其固有安全风险 。虽然严格的服务器租用ALPN（Application-Layer Protocol Negotiation，应用层协议协商）执行机制曾有效缓解ALPACA等历史攻击，但对负鼠攻击无效——因为隐式与机会型TLS变体使用相同的ALPN字符串 。

"我们建议通过彻底弃用所有机会型TLS协议来防御负鼠攻击 。"论文明确表态
。