上千万Android手机面临“心脏出血”漏洞威胁
作者:星期三, 四月 16, 20140

 

Heartbleed 460x340

安全牛在上周的报道“腾讯阿里宣布修复心脏出血漏洞,你真的可以放心了?”一文中指出,心脏出血漏洞不仅仅存在于网站,还存在于电脑、智能手机甚至路由器等终端和网络设备中,例如思科和Juniper爆出大量网络设备存在心脏出血漏洞。存在于用户终端中的”心脏出血”漏洞很容易被恶意的服务器端攻击(中间人攻击)。

昨日Ars的报道确认了心脏出血漏洞对移动终端的威胁——Heartbleed漏洞不仅仅影响Web服务器,还威胁到了数百万Android手机

谷歌发言人克里斯托弗·卡特萨洛斯(Christopher Katsaros)也已经向彭博社证实,目前仍有上千万部设备搭载易受Heartbleed漏洞影响的Android操作系统。

Google安全博客称,只有Android 4.1.1(果冻豆Jellybean系统)受到影响,表示补丁信息正分发给合作伙伴。由于Android 系统更新的复杂性,许多Android 4.1.1用户可能永远不会更新修复Heartbleed漏洞的补丁。但即使没有更新,大部分Android 4.1.1用户也不会真的受到影响,因为Android 的沙盒机制会阻止恶意应用访问内存内容,而要窃取用户的敏感信息攻击者需要访问内存。

不过,Android 4.1.1的安全风险并不能被完全排除。安全专家警告说,攻击者可能对网络连接发动中间人攻击或跨站伪造请求攻击等方法窃取用户的安全凭证,所以使用受影响设备的用户仍然要小心。

由于心脏出血漏洞波及范围空前,大量网站安全证书更新工程过于浩大、加之网络设备的漏洞补丁开发周期比web服务器补丁长,Android操作系统的碎片化问题等都意味着短时间内互联网安全很难真正“止血”。

换而言之,即使你更新了手机操作系统版本、路由器固件版本、更新了网银账户密码、网站也更新了OpenSSL版本,但是如果曾近存在漏洞的网站没有重新发放私钥和证书。你依然有可能成为心脏出血漏洞的受害者。尽管如此,我们还是建议使用Android智能手机的读者尽快检查操作系统版本,并进行必要的更新。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章