openssl 心血 漏洞影響安卓手機用戶、蘋果暫不受影響

OpenSSL1.0.1g 官方版

• 類型：編程工具大�。�17.5M語言：英文 評分：4.2
• 標簽：

立即下載

OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，廣泛應(yīng)用于網(wǎng)銀、在線支付、電子郵件服務(wù)及各大互聯(lián)網(wǎng)公司的網(wǎng)站，如Facebook、谷歌和雅虎等公司的網(wǎng)站，Heartbleed漏洞于周一被曝光，該漏洞允許黑客不露蹤跡地竊取數(shù)據(jù)。目前，沒有任何組織承認自己成為Heartbleed漏洞的受害者，但網(wǎng)絡(luò)安全公司表示，他們發(fā)現(xiàn)一些知名的黑客團體正利用該漏洞掃描網(wǎng)絡(luò)，以尋找易受攻擊的網(wǎng)絡(luò)。

Heartbleed安全漏洞（也被成為：心臟流血）搞得人心惶惶。好消息是，蘋果、黑莓和微軟服務(wù)并沒有受到影響。壞消息是，雅虎和其他科技網(wǎng)站都難逃一劫。不過，更大的“危險”還在后面：Heartbleed漏洞極有可能蔓延到移動手機。谷歌已察覺此風(fēng)險，并承認安卓系統(tǒng)中曾使用了比較“脆弱”的OpenSSL。不過，該公司通過升級安卓系統(tǒng)（安卓4.1）阻止了Heartbleed在安卓 平臺上的蔓延。MobileIron發(fā)布公告表示，其平臺并未受到Heartbleed影響，不過已安裝 BYOD Portal 的用戶應(yīng)該檢查他們所使用的OpenSSL版本。此外，黑莓公司表示，它們有可能升級其安卓平臺上的BBM客戶端。

據(jù)phonearena網(wǎng)站報道稱，任何此前從谷歌Play，Windows Store和蘋果應(yīng)用商店中下載過軟件的用戶可能都面臨著Heartbleed漏洞。如果用戶所下載的軟件，連接了用來儲存和調(diào)整數(shù)據(jù)的安全服務(wù)器，就有可能在過去幾年暴露了Heartbleed安全漏洞。

不過，我們目前還不知道具體那些應(yīng)用軟件存在OpenSSL安全漏洞。通過即時通訊軟件留存的用戶姓名、密碼信息，銀行賬號甚至VoIP通話都可能面臨“被盜”風(fēng)險。可以這么說，Heartbleed是一個沒有“極限”的漏洞，可以用僅占64k內(nèi)存空間的小腳本 “引爆”，且不留任何蛛絲馬跡。

此外，我們現(xiàn)在還不知道，OpenSSL安全漏洞對移動領(lǐng)域的影響有多大�，F(xiàn)在移動用戶數(shù)已經(jīng)超過傳統(tǒng)計算機用戶，但幾乎沒有任何信息提醒移動用戶注意潛在風(fēng)險。Heartbleed漏洞不是操作系統(tǒng)問題，也不是瀏覽器問題，它是安全層出現(xiàn)了漏洞。

在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯(lián)網(wǎng)安全領(lǐng)域的一大薄弱環(huán)節(jié)：該項目的工作量十分艱巨，但多數(shù)工作都僅由4位歐洲程序員以及美國馬里蘭的1位前軍事顧問承擔(dān)。

這個團隊由11人組成，但多數(shù)都是志愿者，只有1人全職為其效力。他們每年的預(yù)算不到100萬美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國研究人員的一個無心之舉導(dǎo)致的。

“這個項目的人員之少令人震驚�！泵绹�安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)說，“要知道，這可是當(dāng)今互聯(lián)網(wǎng)上最為復(fù)雜的通訊代碼之一�！�

OpenSSL項目創(chuàng)立于1998年，目的是提供一組免費的加密工具。經(jīng)過多年的發(fā)展后，全世界大約有三分之二的網(wǎng)絡(luò)服務(wù)器都采用了這一工具。各大網(wǎng)站、網(wǎng)絡(luò)設(shè)備公司和政府機構(gòu)都利用OpenSSL工具保護個人信息和其他敏感數(shù)據(jù)。

TrendMicro監(jiān)測了谷歌應(yīng)用商店近40萬款應(yīng)用軟件，有將近7000款軟件正連接著易受攻擊的服務(wù)器，其中包括了15款銀行類應(yīng)用，39款支付應(yīng)用，10款在線購物應(yīng)用。你可以說，遭受安全漏洞攻擊的概率不到2%，但這2%確確實實存在著。美國銀行、USAA以及花旗銀行等銀行都已經(jīng)升級了他們的安全認證。

OpenSSL軟件利用數(shù)字證書和“密鑰”實現(xiàn)網(wǎng)絡(luò)通信的高強度加密，讓信息能安全地在互聯(lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)上傳輸。

最糟糕的情況就是，用戶沒有任何可以修補這一漏洞的辦法。沒辦法，它們只能繼續(xù)使用在線銀行服務(wù)或者進行網(wǎng)購。只有上述服務(wù)在他們的終端上解決了這些問題，我們才能放心使用它們，或者就干脆暫停使用它們。

Bluebox首席技術(shù)官Jeff Forristal表示：“接受風(fēng)險是用戶的選擇，但是它們應(yīng)該被告知危險的存在�！�

SafeLogic首席執(zhí)行官Ray Potter表示：“盡管我們現(xiàn)在還未看到Heartbleed所帶來的最糟糕一面，但我們可以想象到，未來一些黑客肯定會使用工具和“病毒”來盜取用戶信息，甚至攻擊系統(tǒng)。”

用戶信息極易被盜取

“心臟出血”網(wǎng)絡(luò)上簡稱“心血”，該漏洞可能是近年來互聯(lián)網(wǎng)中最致命的漏洞之一：利用該漏洞，黑客可以隨時獲取眾多https開頭網(wǎng)站內(nèi)用戶的用戶名和密碼，通過這些信息盜取用戶的私人財產(chǎn)，危險程度極大。

據(jù)了解，由于“心血”漏洞的爆發(fā)非常突然，包括淘寶、網(wǎng)銀、微信微博、郵箱等眾多知名網(wǎng)站紛紛中招，雖然不少網(wǎng)站的技術(shù)人員已經(jīng)在緊急修復(fù)該漏洞，不過在此期間登錄過這種https開頭網(wǎng)站的用戶信息是否已經(jīng)被泄露目前不得而知。

原理簡單但危害較大

“心血”漏洞到底有多厲害？“其實這一漏洞的原理并不復(fù)雜，就是通過技術(shù)手段獲得網(wǎng)站服務(wù)器中用于加密互聯(lián)網(wǎng)傳遞信息的網(wǎng)絡(luò)密鑰然后截獲用戶信息，或者黑客還可以直接潛伏在網(wǎng)站服務(wù)器的內(nèi)存中，通過耐心地獲取更多的用戶數(shù)據(jù)，慢慢地拼湊出完整的用戶信息�！睆埥ń榻B，通過這樣的方式，黑客可以隨時快捷獲取眾多網(wǎng)站的眾多用戶信息。

建議市民修改密碼

既然“心血”漏洞的危害這么大，對于普通市民而言，我們能做什么進行防護嗎？對此，張建認為，普通市民要防范這種大規(guī)模集中爆發(fā)的漏洞非常困難，這種漏洞主要考驗的是相關(guān)網(wǎng)站的技術(shù)人員，由他們在內(nèi)部進行網(wǎng)站升級等修復(fù)工作，以解決漏洞造成的危害。“不過市民可以做些力所能及的事情防護漏洞可能造成的危害。”張建說，由于該漏洞主要針對https開頭的網(wǎng)站，因此如果最近幾天內(nèi)市民登錄過這種網(wǎng)站，特別是登錄過淘寶、網(wǎng)銀等存在財產(chǎn)安全的網(wǎng)站時，建議市民修改自己的登錄或支付密碼，然后利用這個時間差，讓相關(guān)網(wǎng)站的技術(shù)人員有時間修復(fù)漏洞；或者立刻將自己電腦中的殺毒軟件進行升級，也應(yīng)該一定程度可以保護自己的信息和財產(chǎn)安全。

因此西西建議 近期不要使用手機登陸網(wǎng)銀、網(wǎng)上支付等支付賬號！