最近一段时间,Heartbleed安全漏洞(也被成为:心脏流血)搞得人心惶惶。好消息是,苹果、黑莓和微软服务并没有受到影响。坏消息是,雅虎和其他科技网站都难逃一劫。不过,更大的“危险”还在后面:Heartbleed漏洞极有可能蔓延到移动手机。谷歌已察觉此风险,并承认安卓系统中曾使用了比较“脆弱”的OpenSSL。不过,该公司通过升级安卓系统(安卓4.1)阻止了Heartbleed在安卓 平台上的蔓延。MobileIron发布公告表示,其平台并未受到Heartbleed影响,不过已安装 BYOD Portal 的用户应该检查他们所使用的OpenSSL版本。此外,黑莓公司表示,它们有可能升级其安卓平台上的BBM客户端。
据phonearena网站报道称,任何此前从谷歌Play,Windows Store和苹果应用商店中下载过软件的用户可能都面临着Heartbleed漏洞。如果用户所下载的软件,连接了用来储存和调整数据的安全服务器,就有可能在过去几年暴露了Heartbleed安全漏洞。
不过,我们目前还不知道具体那些应用软件存在OpenSSL安全漏洞。通过即时通讯软件留存的用户姓名、密码信息,银行账号甚至VoIP通话都可能面临“被盗”风险。可以这么说,Heartbleed是一个没有“极限”的漏洞,可以用仅占64k内存空间的小脚本 “引爆”,且不留任何蛛丝马迹。
此外,我们现在还不知道,OpenSSL安全漏洞对移动领域的影响有多大。现在移动用户数已经超过传统计算机用户,但几乎没有任何信息提醒移动用户注意潜在风险。Heartbleed漏洞不是操作系统问题,也不是浏览器问题,它是安全层出现了漏洞。
TrendMicro监测了谷歌应用商店近40万款应用软件,有将近7000款软件正连接着易受攻击的服务器,其中包括了15款银行类应用,39款支付应用,10款在线购物应用。你可以说,遭受安全漏洞攻击的概率不到2%,但这2%确确实实存在着。美国银行、USAA以及花旗银行等银行都已经升级了他们的安全认证。
最糟糕的情况就是,用户没有任何可以修补这一漏洞的办法。没办法,它们只能继续使用在线银行服务或者进行网购。只有上述服务在他们的终端上解决了这些问题,我们才能放心使用它们,或者就干脆暂停使用它们。
Bluebox首席技术官Jeff Forristal表示:“接受风险是用户的选择,但是它们应该被告知危险的存在。”
SafeLogic首席执行官Ray Potter表示:“尽管我们现在还未看到Heartbleed所带来的最糟糕一面,但我们可以想象到,未来一些黑客肯定会使用工具和“病毒”来盗取用户信息,甚至攻击系统。”
