OpenSSL安全漏洞威脅升級電腦手機均可能被竊取隱私

循天園 2014-04-13

展開全文

4月11日消息，互聯(lián)網嚴重安全漏洞OpenSSL“心臟出血”的威脅仍在發(fā)酵。金山毒霸安全中心研究發(fā)現，不僅網民訪問https攻擊網站會泄露個人隱私信息，而且使用包含OpenSSL代碼庫的一些電腦軟件，甚至安卓APP、瀏覽器，都有可能面臨隱私被竊取的風險。

金山毒霸安全專家指出，國外已有黑客將針對個人電腦、手機、平板設備的攻擊代碼公開，可能已在黑客圈大面積傳播。黑客利用OpenSSL“心臟出血”漏洞構造特殊網頁，誘騙網民點擊訪問。

當用戶電腦或移動電子設備使用了OpenSSL的軟件，訪問到上述攻擊網頁時，黑客就通過服務器發(fā)送惡意“心跳包”（定時發(fā)送的通訊包）給客戶端，利用漏洞多次遠程讀取用戶系統(tǒng)內存數據，盜取用戶數字證書，賬號，密碼，上網記錄等重要信息。

OpenSSL Heartbleed（“心臟出血”）漏洞被業(yè)內稱為2014年度最重大的安全漏洞之一，它不久前由安全公司Codenomicon和谷歌的工程師發(fā)現，漏洞編號CVE-2014-0160。

由于OpenSSL協(xié)議廣泛應用于網銀、在線支付、電子郵件、電商等重要網站，所以利用此漏洞的黑客只需坐在電腦前，即可實時獲取約30%以https開頭網址的用戶登錄賬號密碼。

據最新消息，該漏洞不僅影響了大量網站服務器，也存在于思科和Juniper的網絡設備中。思科已經列出了10余款被確認存在漏洞的產品，而另60余款產品可能受到影響，但調查仍在進行中。

除網絡設備之外，一些手機系統(tǒng)也存在“心臟出血”漏洞。谷歌近日發(fā)布公告證實安卓手機用戶同樣受到此漏洞的威脅。谷歌稱安卓系統(tǒng)的4.1.1版采用了有漏洞版本的OpenSSL協(xié)議庫，用戶同樣面臨隱私遭竊取的風險。

據安全圈人士透露，由于OpenSSL漏洞的出現，在近日的地下交易市場中，各種兜售非法數據的交易顯得異?；鸨?。

目前，國內外眾多網站和網絡服務商正積極應對此次重大安全事件。金山毒霸安全中心分析，截止目前，包括工行、建行、農行、交行、招行等較大的銀行網站，支付寶、淘寶、京東、卓越等電商及支付網站，新浪、騰訊、網易等門戶網站，國內網民經常使用的知名網站服務已修復該漏洞。但是，國內仍有部分網站仍未修復，尚存風險。

金山毒霸安全中心正在研發(fā)可靠防御方案，相應的技術方案正在緊張測試中，最近即將上線。安全專家建議近期在QQ聊天、處理郵件、上網瀏覽時，不要點擊不受信任的https開頭的鏈接，避免攻擊導致個人重要信息泄露。另外，對網民來說，更改密碼設置也是非常必要的，建議不同的網絡服務設置不同的賬號密碼，防止某網站賬號泄露后造成更大范圍的隱私泄露。

已修復漏洞的知名網站

銀行: 中國工商銀行 www.icbc.com.cn; 招商銀行 www.cmbchina.com; 中國農業(yè)銀行 www.abchina.com; 廣東發(fā)展銀行 ebank.gdb.com.cn; 中國銀行 www.boc.cn; 深圳發(fā)展銀行 bank.pingan.com; 中國建設銀行 www.ccb.cn; 興業(yè)銀行 www.cib.com.cn; 交通銀行 www.bankcomm.com; 上海浦東發(fā)展銀行 www.spdb.com.cn; 中信實業(yè)銀行 www.ecitic.com; 上海銀行 www.bankofshanghai.com.cn; 中國光大銀行 www.cebbank.com; 寧波市商業(yè)銀行 www.nbcb.com.cn; 中國民生銀行 www.cmbc.com.cn