Qualys SSL LABS檢查https網站安全性
Qualys SSL LABS檢查https網站安全性

Heartbleed漏洞

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題,據Github所進行的測試顯示,在前10000名網站(根據Alexa排名)中,有600個受此弱點影響,在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。
 
趨勢科技行動威脅分析師Veo Chang表示,這安全漏洞的涵蓋率也延伸到行動應用程式,一樣地容易受到網站的Heartbleed臭蟲影響,因為應用程式通常會連到伺服器和網頁服務來完成各項功能,有相當大數量的網域受到此漏洞影響。

檢查SSL漏洞

如何檢查OpenSSL避免公司網站被駭客透過Heartbleed漏洞攻擊導致信用卡被竊?

==>Heartbleed Test
 
Veo Chang進一步說,假如個人用戶只是要進行應用程式內購買的動作,在輸入信用卡資訊後,行動應用程式就會完成交易,所有的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。

因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。
 
那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便信用卡不會被影響到。例如,應用程式可能會要求在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。
 
假設個人用戶決定這樣做,並且按下「確定」,這樣的話,應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器去登入社群網路,並不是說所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。
 
趨勢科技深入地研究此事,並檢查了熱門行動應用程式所用的一些網頁服務,結果顯示該漏洞依然存在,並掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。

其中,有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。
 
另外,還看到了許多使用者會每天用到的熱門應用程式,像是即時通類型應用程式、保健類型應用程式、鍵盤輸入應用程式和最令人關注的行動支付應用程式。

這些應用程式會用到敏感的個人資料和財務資料,豐富的資料礦產等著網路犯罪分子來採掘。
 
那可以做些什麼來解決Heartbleed問題和之後呢?趨勢科技坦言,能做的不多,但可以試著改變密碼降低風險,但如果應用程式開發者和網頁服務供應商沒有去解決他們那邊的問題,這作法就沒有用,他們必須要升級OpenSSL的修補版本,或至少關閉有問題的Heartbeat外掛程式。
 
在此之前,趨勢科技建議並提醒消費者,該做的就是停止應用程式內購買或任何金融交易一段時間(包括網路銀行業務),直到應用程式的開發者發布修補程式來解決這個漏洞問題。(楊喻斐/台北報導)
資料來源:http://www.appledaily.com.tw/

前一篇文章大陸淘寶開店實戰一日速成班 (你知道如何將MIT商品賣到大陸?)
下一篇文章(青創會)-行動行銷卡位戰-導購+虛實整合行銷術
學經歷 淡江大學資訊管理研究所 諸銘科技軟體發開部經理與教育事業部總監 專長 網路創業、網路行銷、創業貸款、個資保護、資訊安全、程式設計(ASP.NET VB.NET MVC C# Core 6) 資安與個資證照:CompTia Security+ , ISO 27701。 演講與課程經歷 工研院講師 勞動部微型創業鳳凰貸款顧問 台北市社會局 衛福部中央健保署 新北市政府勞工局 管科會 中國生產力中心 中衛中心 中山管理教育基金會 中華軟協 南科產協 青創會 青創會內訓 臺北青年職涯發展中心 經濟部樂活創業人才班 中小企業總會 外貿協會 高雄醫學大學 雲林科技大學 台北醫學大學 銘傳大學 明新科大 中台科大 台灣科技大學 師範大學 大葉大學 台北城市大學 聖約翰科技大學 萬能科技大學 輔英科大 明新科大 美和科大 嘉南藥理大學 東南科大 亞太創意技術學院 格致商工 霧峰農工 三重商工 新店戒護所 台南就業處 台灣知識庫 台北景福扶輪社 富邦人壽 台北國際書展

回覆留言

Please enter your comment!
Please enter your name here