Heartbleed漏洞
Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題,據Github所進行的測試顯示,在前10000名網站(根據Alexa排名)中,有600個受此弱點影響,在掃描的時候,受影響的網站包括了雅虎 、Flickr、OKCupid、Rolling Stone和Ars Technica。
趨勢科技行動威脅分析師Veo Chang表示,這安全漏洞的涵蓋率也延伸到行動應用程式,一樣地容易受到網站的Heartbleed臭蟲影響,因為應用程式通常會連到伺服器和網頁服務來完成各項功能,有相當大數量的網域受到此漏洞影響。
檢查SSL漏洞
如何檢查OpenSSL避免公司網站被駭客透過Heartbleed漏洞攻擊導致信用卡被竊?
==>Heartbleed Test
Veo Chang進一步說,假如個人用戶只是要進行應用程式內購買的動作,在輸入信用卡資訊後,行動應用程式就會完成交易,所有的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上,並可能在那待上一段長度不等的時間。
因此,網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料(如信用卡號碼)。
那如果應用程式不提供應用程式內購買呢?他們就安全於此漏洞嗎?也不是,只要它會連到網路伺服器,就還是會被此弱點影響,即便信用卡不會被影響到。例如,應用程式可能會要求在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。
假設個人用戶決定這樣做,並且按下「確定」,這樣的話,應用程式有可能會自己去打開網頁,透過自己的應用程式內瀏覽器去登入社群網路,並不是說所連上的社群網路一定會被Heartbleed漏洞影響,但可能性是存在的,因此也就會有風險。
趨勢科技深入地研究此事,並檢查了熱門行動應用程式所用的一些網頁服務,結果顯示該漏洞依然存在,並掃描了大約390,000個來自Google Play的應用程式,發現約有1,300個會連到有漏洞的伺服器。
其中,有15個銀行相關應用程式,39個和線上支付有關,10個和網路購物有關。
另外,還看到了許多使用者會每天用到的熱門應用程式,像是即時通類型應用程式、保健類型應用程式、鍵盤輸入應用程式和最令人關注的行動支付應用程式。
這些應用程式會用到敏感的個人資料和財務資料,豐富的資料礦產等著網路犯罪分子來採掘。
那可以做些什麼來解決Heartbleed問題和之後呢?趨勢科技坦言,能做的不多,但可以試著改變密碼降低風險,但如果應用程式開發者和網頁服務供應商沒有去解決他們那邊的問題,這作法就沒有用,他們必須要升級OpenSSL的修補版本,或至少關閉有問題的Heartbeat外掛程式。
在此之前,趨勢科技建議並提醒消費者,該做的就是停止應用程式內購買或任何金融交易一段時間(包括網路銀行業務),直到應用程式的開發者發布修補程式來解決這個漏洞問題。(楊喻斐/台北報導)
資料來源:http://www.appledaily.com.tw/