四月八日开始,全球的網際網路公司都陷入了緊急的安全狀態,包括 Google 、 Facebook 等網路公司拼了命的在修補漏洞,要補的就是這一個: Heartbleed bug 。
Heartbleed 是 Open SSL 安全協定中的一個模組,而SSL 是一個網路上常用的密碼金鑰封裝加密機制,我們常看到網址前面用了 “ https ”這樣的協定,就代表了該網站有應用 SSL 加密功能來保護使用者的隱私內容,但是在昨天 Google 與網路安全公司 Codenmicon 發現了這個模組出現了一個 Bug ,駭客可以利用這個 Bug 對網站進行攻擊,不斷地反覆獲取該網站的資訊,甚至包括該網站用戶的使用者資訊、帳號密碼、甚至信用卡卡號等,其實這個漏洞存在已久,只是到了昨天才被真正找出來,若你覺得不放心,趕快把你常用的密碼換一換吧。
图片来源自由时报3c科技
國內資安廠商趨勢科技公司的行動威脅分析師 Veo Chang 表示:
Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的,一個由Github所進行的測試顯示,在前10,000名網站(根據Alexa排名)中,有600個受此弱點影響。在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。
延伸此一安全漏洞的涵蓋率帶出另一個問題,「行動設備也會受到影響嗎?」簡單的說:是的。
行動應用程式,不管我們喜不喜歡,也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到,有相當大數量的網域受到此漏洞影響。
假如你只是要進行應用程式內購買的動作,所以你需要輸入信用卡資訊。你做完之後,行動應用程式就會為你完成交易。當你拿到了你要的遊戲,你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。就是這麼地簡單。
那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便你的信用卡不會被影響到。例如,你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。
假設你決定這樣做,並且按下「確定」。你的應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。
我們更深入地研究此事,並檢查了熱門行動應用程式所用的一些網頁服務,結果顯示該漏洞依然存在。
我們掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。我們還看到了許多使用者會每天用到的熱門應用程式,像是即時通類型應用程式、保健類型應用程式、鍵盤輸入應用程式和最令人關注的行動支付應用程式。這些應用程式會用到敏感的個人資料和財務資料,豐富的資料礦產等著網路犯罪分子來採掘。
可以做些什麼來解決Heartbleed問題和之後呢?我們恐怕要告訴你能做的不多。我們可以告訴你要改變密碼,但如果應用程式開發者和網頁服務供應商沒有去解決他們那邊的問題,這作法就沒有用。這代表他們要升級OpenSSL的修補版本,或至少關閉有問題的Heartbeat外掛程式。
在此之前,我們可以提醒你該做的就是停止應用程式內購買或任何金融交易一段時間(包括網路銀行業務),直到你所喜好應用程式的開發者發布修補程式來解決這個漏洞問題。同時我們也會保持更新所有與Heartbleed臭蟲相關的資訊。
资料来源:自由时报http://www.ltn.com.tw/
没有评论:
发表评论