人民网>>IT

互联网曝“心脏出血”漏洞:手机APP也难逃劫难

2014年04月10日16:39    来源:人民网-IT频道    手机看新闻

人民网北京4月10日电(记者陈键)年度高危OpenSSL互联网“心脏出血”安全漏洞不但影响网站安全,手机APP同样也难逃劫难。据360手机安全中心最新统计发现,有50%的手机APP正在使用HTTPS安全传输协议。据Google证实,在安卓4.1.1手机上存在相应漏洞问题。安全专家表示,即使安卓系统无漏洞,这些使用了HTTPS协议的APP的服务器端信息仍有可能被黑客窃取。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。4月8日,OpenSSL爆出严重安全漏洞,此漏洞在黑客社区中被命名为“心脏出血”漏洞。

360安全专家石晓虹博士此前表示,OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民,初步评估一批HTTPS登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。

金山毒霸安全专家李铁军透露,这个漏洞使黑客可以远程读取HTTPS服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的COOKIES、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。”

安全专家进一步分析还发现,OpenSSL漏洞不仅影响HTTPS开头的网址,还影响到间接使用了OpenSSL代码的产品和服务,比如,VPN、邮件系统、FTP工具等产品和服务,甚至涉及到其他一些安全设施的源代码。“可以说,OpenSSL漏洞的危害远远超乎人们的想象,其后遗症也将持续很长一段时间”,360网站卫士工程师董方认为。

“漏洞被挖掘出来以后,带来的危害并不会非常快地显现。”瑞星安全专家唐威提醒,现阶段企业层面能做的是对使用的OpenSSL进行排查和升级。

OpenSSL漏洞被批露后,不少网站及时采取了补救措施,但仍有网站未引起足够的重视。数据显示,OpenSSL漏洞爆发三天后,仍有28.1%的网站主机没有修复漏洞。360网站安全检测平台对国内120万家经过授权的网站扫描后发现,4月8日共有18000多个网站主机存在漏洞。4月9日下午,有漏洞的网站主机数量下降到11000余个。截至4月10日中午,仍未修复漏洞的网站主机仍超过5000个。

为维护用户信息安全,安全专家建议:尽量在不同手机APP下使用不同密码,防止黑客攻击了某个服务器之后,使用同一密码进入你的其他客户端,特别是支付类应用的密码一定要单独设置;同时安装手机安全软件,检测手机及网络安全环境,防止被网络钓鱼。对于使用电脑上网的网民来说,在OpenSSL漏洞得到各大网站彻底修复前,尽量避免在有漏洞的网站上登入账号是最好的自保措施。

(责编:陈健、杨波)


注册/登录
发言请遵守新闻跟帖服务协议   

使用其他账号登录: 新浪微博帐号登录 QQ帐号登录 人人帐号登录 百度帐号登录 豆瓣帐号登录 天涯帐号登录 淘宝帐号登录 MSN帐号登录 同步:分享到人民微博  

社区登录
用户名: 立即注册
密  码: 找回密码
  
  • 最新评论
  • 热门评论
查看全部留言

24小时排行 | 新闻频道留言热帖