openssl 心血 漏洞影響安卓手機(jī)用戶、蘋(píng)果暫不受影響

OpenSSL1.0.1g 官方版

• 類型：編程工具大�。�17.5M語(yǔ)言：英文 評(píng)分：4.2
• 標(biāo)簽：

立即下載

OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，廣泛應(yīng)用于網(wǎng)銀、在線支付、電子郵件服務(wù)及各大互聯(lián)網(wǎng)公司的網(wǎng)站，如Facebook、谷歌和雅虎等公司的網(wǎng)站，Heartbleed漏洞于周一被曝光，該漏洞允許黑客不露蹤跡地竊取數(shù)據(jù)。目前，沒(méi)有任何組織承認(rèn)自己成為Heartbleed漏洞的受害者，但網(wǎng)絡(luò)安全公司表示，他們發(fā)現(xiàn)一些知名的黑客團(tuán)體正利用該漏洞掃描網(wǎng)絡(luò)，以尋找易受攻擊的網(wǎng)絡(luò)。

Heartbleed安全漏洞（也被成為：心臟流血）搞得人心惶惶。好消息是，蘋(píng)果、黑莓和微軟服務(wù)并沒(méi)有受到影響。壞消息是，雅虎和其他科技網(wǎng)站都難逃一劫。不過(guò)，更大的“危險(xiǎn)”還在后面：Heartbleed漏洞極有可能蔓延到移動(dòng)手機(jī)。谷歌已察覺(jué)此風(fēng)險(xiǎn)，并承認(rèn)安卓系統(tǒng)中曾使用了比較“脆弱”的OpenSSL。不過(guò)，該公司通過(guò)升級(jí)安卓系統(tǒng)（安卓4.1）阻止了Heartbleed在安卓 平臺(tái)上的蔓延。MobileIron發(fā)布公告表示，其平臺(tái)并未受到Heartbleed影響，不過(guò)已安裝 BYOD Portal 的用戶應(yīng)該檢查他們所使用的OpenSSL版本。此外，黑莓公司表示，它們有可能升級(jí)其安卓平臺(tái)上的BBM客戶端。

據(jù)phonearena網(wǎng)站報(bào)道稱，任何此前從谷歌Play，Windows Store和蘋(píng)果應(yīng)用商店中下載過(guò)軟件的用戶可能都面臨著Heartbleed漏洞。如果用戶所下載的軟件，連接了用來(lái)儲(chǔ)存和調(diào)整數(shù)據(jù)的安全服務(wù)器，就有可能在過(guò)去幾年暴露了Heartbleed安全漏洞。

不過(guò)，我們目前還不知道具體那些應(yīng)用軟件存在OpenSSL安全漏洞。通過(guò)即時(shí)通訊軟件留存的用戶姓名、密碼信息，銀行賬號(hào)甚至VoIP通話都可能面臨“被盜”風(fēng)險(xiǎn)�？梢赃@么說(shuō)，Heartbleed是一個(gè)沒(méi)有“極限”的漏洞，可以用僅占64k內(nèi)存空間的小腳本 “引爆”，且不留任何蛛絲馬跡。

此外，我們現(xiàn)在還不知道，OpenSSL安全漏洞對(duì)移動(dòng)領(lǐng)域的影響有多大。現(xiàn)在移動(dòng)用戶數(shù)已經(jīng)超過(guò)傳統(tǒng)計(jì)算機(jī)用戶，但幾乎沒(méi)有任何信息提醒移動(dòng)用戶注意潛在風(fēng)險(xiǎn)。Heartbleed漏洞不是操作系統(tǒng)問(wèn)題，也不是瀏覽器問(wèn)題，它是安全層出現(xiàn)了漏洞。

在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯(lián)網(wǎng)安全領(lǐng)域的一大薄弱環(huán)節(jié)：該項(xiàng)目的工作量十分艱巨，但多數(shù)工作都僅由4位歐洲程序員以及美國(guó)馬里蘭的1位前軍事顧問(wèn)承擔(dān)。

這個(gè)團(tuán)隊(duì)由11人組成，但多數(shù)都是志愿者，只有1人全職為其效力。他們每年的預(yù)算不到100萬(wàn)美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國(guó)研究人員的一個(gè)無(wú)心之舉導(dǎo)致的。

“這個(gè)項(xiàng)目的人員之少令人震驚�！泵绹�(guó)安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)說(shuō)，“要知道，這可是當(dāng)今互聯(lián)網(wǎng)上最為復(fù)雜的通訊代碼之一。”

OpenSSL項(xiàng)目創(chuàng)立于1998年，目的是提供一組免費(fèi)的加密工具。經(jīng)過(guò)多年的發(fā)展后，全世界大約有三分之二的網(wǎng)絡(luò)服務(wù)器都采用了這一工具。各大網(wǎng)站、網(wǎng)絡(luò)設(shè)備公司和政府機(jī)構(gòu)都利用OpenSSL工具保護(hù)個(gè)人信息和其他敏感數(shù)據(jù)。

TrendMicro監(jiān)測(cè)了谷歌應(yīng)用商店近40萬(wàn)款應(yīng)用軟件，有將近7000款軟件正連接著易受攻擊的服務(wù)器，其中包括了15款銀行類應(yīng)用，39款支付應(yīng)用，10款在線購(gòu)物應(yīng)用。你可以說(shuō)，遭受安全漏洞攻擊的概率不到2%，但這2%確確實(shí)實(shí)存在著。美國(guó)銀行、USAA以及花旗銀行等銀行都已經(jīng)升級(jí)了他們的安全認(rèn)證。

OpenSSL軟件利用數(shù)字證書(shū)和“密鑰”實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密，讓信息能安全地在互聯(lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)上傳輸。

最糟糕的情況就是，用戶沒(méi)有任何可以修補(bǔ)這一漏洞的辦法。沒(méi)辦法，它們只能繼續(xù)使用在線銀行服務(wù)或者進(jìn)行網(wǎng)購(gòu)。只有上述服務(wù)在他們的終端上解決了這些問(wèn)題，我們才能放心使用它們，或者就干脆暫停使用它們。

Bluebox首席技術(shù)官Jeff Forristal表示：“接受風(fēng)險(xiǎn)是用戶的選擇，但是它們應(yīng)該被告知危險(xiǎn)的存在。”

SafeLogic首席執(zhí)行官Ray Potter表示：“盡管我們現(xiàn)在還未看到Heartbleed所帶來(lái)的最糟糕一面，但我們可以想象到，未來(lái)一些黑客肯定會(huì)使用工具和“病毒”來(lái)盜取用戶信息，甚至攻擊系統(tǒng)�！�

用戶信息極易被盜取

“心臟出血”網(wǎng)絡(luò)上簡(jiǎn)稱“心血”，該漏洞可能是近年來(lái)互聯(lián)網(wǎng)中最致命的漏洞之一：利用該漏洞，黑客可以隨時(shí)獲取眾多https開(kāi)頭網(wǎng)站內(nèi)用戶的用戶名和密碼，通過(guò)這些信息盜取用戶的私人財(cái)產(chǎn)，危險(xiǎn)程度極大。

據(jù)了解，由于“心血”漏洞的爆發(fā)非常突然，包括淘寶、網(wǎng)銀、微信微博、郵箱等眾多知名網(wǎng)站紛紛中招，雖然不少網(wǎng)站的技術(shù)人員已經(jīng)在緊急修復(fù)該漏洞，不過(guò)在此期間登錄過(guò)這種https開(kāi)頭網(wǎng)站的用戶信息是否已經(jīng)被泄露目前不得而知。

原理簡(jiǎn)單但危害較大

“心血”漏洞到底有多厲害？“其實(shí)這一漏洞的原理并不復(fù)雜，就是通過(guò)技術(shù)手段獲得網(wǎng)站服務(wù)器中用于加密互聯(lián)網(wǎng)傳遞信息的網(wǎng)絡(luò)密鑰然后截獲用戶信息，或者黑客還可以直接潛伏在網(wǎng)站服務(wù)器的內(nèi)存中，通過(guò)耐心地獲取更多的用戶數(shù)據(jù)，慢慢地拼湊出完整的用戶信息�！睆埥ń榻B，通過(guò)這樣的方式，黑客可以隨時(shí)快捷獲取眾多網(wǎng)站的眾多用戶信息。

建議市民修改密碼

既然“心血”漏洞的危害這么大，對(duì)于普通市民而言，我們能做什么進(jìn)行防護(hù)嗎？對(duì)此，張建認(rèn)為，普通市民要防范這種大規(guī)模集中爆發(fā)的漏洞非常困難，這種漏洞主要考驗(yàn)的是相關(guān)網(wǎng)站的技術(shù)人員，由他們?cè)趦?nèi)部進(jìn)行網(wǎng)站升級(jí)等修復(fù)工作，以解決漏洞造成的危害。“不過(guò)市民可以做些力所能及的事情防護(hù)漏洞可能造成的危害。”張建說(shuō)，由于該漏洞主要針對(duì)https開(kāi)頭的網(wǎng)站，因此如果最近幾天內(nèi)市民登錄過(guò)這種網(wǎng)站，特別是登錄過(guò)淘寶、網(wǎng)銀等存在財(cái)產(chǎn)安全的網(wǎng)站時(shí)，建議市民修改自己的登錄或支付密碼，然后利用這個(gè)時(shí)間差，讓相關(guān)網(wǎng)站的技術(shù)人員有時(shí)間修復(fù)漏洞；或者立刻將自己電腦中的殺毒軟件進(jìn)行升級(jí)，也應(yīng)該一定程度可以保護(hù)自己的信息和財(cái)產(chǎn)安全。

因此西西建議 近期不要使用手機(jī)登陸網(wǎng)銀、網(wǎng)上支付等支付賬號(hào)！