互聯(lián)網的漏洞經常有,但是今年以來的漏洞則特別多。
近日,國際知名安全協(xié)議OpenSSL的官方網站發(fā)布了一個安全公告,稱OpenSSL1.0.1f版本中存在一個嚴重漏洞,可導致網站服務器被黑客監(jiān)聽,用戶的敏感信息被泄露。據悉,該漏洞被業(yè)內稱為“心臟出血”漏洞,也被廣泛認為是近年來危害最嚴重的安全漏洞,黑客坐在自家電腦前,就可以從很多https開頭網址的服務器上實時抓取用戶的賬號密碼,涉及網銀、購物網站、社交網站等信息。360安全專家石曉虹表示,“此漏洞為本年度互聯(lián)網上最嚴重的安全漏洞,影響至少兩億中國網民。需要在https開頭網址登錄的網站,初步評估有不少于30%的網站中招,其中包括大家最常用的購物、網銀、社交、門戶等知名網站。”
據了解,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協(xié)議,它囊括了主要的密碼算法、常用密鑰和證書封裝管理功能以及SSL協(xié)議,并提供了豐富的應用程序供測試或其他目的使用。目前,占據全球三分之二市場份額的Apache和Nginx服務器都在使用OpenSSL,此外,OpenSSL還被大量應用于電子郵件客戶端、聊天軟件等互聯(lián)網應用軟件中。
瑞星互聯(lián)網攻防實驗室出具的安全報告顯示,本次OpenSSL“心臟出血”漏洞存在于ssl/dl_both.c文件中,是Heartbleed模塊的一個Bug所致。漏洞可導致黑客遠程讀取網站服務器長達64K的數據,而這些數據中極有可能存儲了用戶的網銀賬號、訂單信息、身份信息及支付密碼等,黑客只需利用該漏洞反復進行內存記錄讀取,大量截獲用戶的敏感數據。
數萬服務器用戶隱私遭泄
據安全專家介紹,本次OpenSSL曝出的漏洞影響范圍特別廣泛,基本上所有使用https開頭的網站都會受到影響。據谷歌和網絡安全公司Codenomicon的研究人員透露,OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網站均在使用這種存在缺陷的加密協(xié)議。因此,許多人的數據信息開始被暴露,每個人都被卷入到這次災難的修正中去。放眼望去,網民經常訪問的支付寶、淘寶、微信公眾號、YY語音、陌陌、雅虎郵件、網銀、門戶等各種網站,基本上都出了問題。而在國外,受到波及的網站也數不勝數,就連大名鼎鼎的NASA(美國航空航天局)也已宣布,用戶數據庫遭泄露。
安全專家表示,現在還不知道,OpenSSL安全漏洞對移動領域的影響有多大?,F在移動用戶數已經超過傳統(tǒng)計算機用戶,但幾乎沒有任何信息提醒移動用戶注意潛在風險。據悉,“心臟出血”漏洞不是操作系統(tǒng)問題,也不是瀏覽器問題,而是安全層出現了漏洞。由于大多數的隱私工具都是基于OpenSSL,所以這次Bug影響的范圍會更加深遠。
50%手機APP支付安全受威脅
被稱為年度最高危的“心臟出血”安全漏洞不但影響網站安全,手機APP也難逃劫難。谷歌近日發(fā)布公告就證實安卓手機用戶同樣受到“心臟出血”安全漏洞的威脅,谷歌稱安卓系統(tǒng)的4.1.1版采用了有漏洞版本的OpenSSL協(xié)議庫,目前正在為合作伙伴準備修復安全補丁。這意味著,使用安卓4.1.1版本手機用戶都將面臨該漏洞的隱私被竊取的安全威脅。而根據4月初的數據統(tǒng)計,4.1.X版本占所有安卓系統(tǒng)版本市場占有率的34.4%。
360手機安全中心統(tǒng)計發(fā)現,有50%的手機APP使用了HTTPS協(xié)議,這其中包括手機廣告插件類、手機支付類、社交分享類APP。這些APP中,有部分采用了有漏洞的OpenSSL庫。手機安全專家研究發(fā)現,黑客通過服務器同樣可以反向竊取問題手機上的隱私信息,但具體的影響范圍和深度目前仍需研究確認。
“用戶登錄APP,與用戶直接登錄網站一樣,都有可能將自己的賬號、密碼等實時登錄信息暴露給攻擊者,也會受到漏洞的安全威脅。”手機安全專家表示,因此建議廣大手機用戶盡量設置不同密碼、防止黑客竊取更多隱私信息。
個人電腦同樣受漏洞攻擊
據介紹,“心臟出血”漏洞剛剛曝出時,黑客主要攻擊的是電商等https網站,抓取網站用戶的登錄賬號和密碼、cookie等數據,此后,大量VPN、郵件系統(tǒng)、FTP工具也被曝受漏洞影響,思科和Juniper的網絡設備宣告中招;最新消息顯示,Windows也面臨OpenSSL漏洞沖擊。
安全研究人員指出,Windows上用OpenSSL的軟件也不少,且多數使用自己安裝目錄下的SSLeay32.dll和Libeay32.dll,沒有統(tǒng)一的升級管理機制,漏洞可能會長期存在。
據悉,黑客利用OpenSSL漏洞是以發(fā)送惡意“心跳包”的方式實現的。對此360漏洞研究實驗室主任袁仁廣表示,“分析了OpenSSL源代碼,發(fā)現客戶端和服務器端對心跳包的處理完全是對等的”,這意味著,黑客既可以用“客戶端打服務器”的方式抓取網站服務器的內存數據,也可以用“服務器打客戶端”的方式抓取個人電腦數據。
個人電腦遭遇“心臟出血”攻擊,其后果不僅是賬號密碼、登錄認證cookies、密鑰等敏感數據被黑客抓取,Windows安全體系也會因此“內傷”被黑客突破,一些原本威脅不大的漏洞結合OpenSSL漏洞會爆發(fā)出強大的破壞力,使整個系統(tǒng)被黑客入侵控制。
OpenSSL漏洞檢測平臺數據顯示,國內網站對此漏洞的修復比例已達到73.2%,絕大多數知名重要網站均已修復漏洞。未來一段時間,OpenSSL漏洞重災區(qū)很可能從網站轉移到個人電腦。
國內安全企業(yè)積極應對漏洞
目前OpenSSL已經發(fā)布了1.0.1g版本以修復這一問題,被漏洞問題波及的網站只需要更新OpenSSL的版本就可以不再受此漏洞的影響。此外,國內安全企業(yè)也積極發(fā)布應對互聯(lián)網漏洞的措施。
針對因OpenSSL“心臟出血”漏洞引起的對支付安全問題的擔憂,匯付天下方面就率先向用戶派發(fā)“定心丸”。據匯付天下首席信息官林朗表示,“‘匯付POS收單’手機客戶端上應用全球領先加密技術V-Key系統(tǒng)的V-Track技術會不斷進行病毒數據監(jiān)測與收集,據此不斷升級優(yōu)化自身系統(tǒng),以提供更加完善與堅固的加密技術。”因此將“無懼OpenSSL漏洞”。
瑞星公司也緊急推出針對網站OpenSSL漏洞的免費在線檢測服務,廣大站長及網站管理員只需輸入網站域名,即可進行自動分析檢測,一旦發(fā)現漏洞可盡快修補。瑞星安全專家介紹,本次被曝的OpenSSL漏洞針對1.0.1-1.0.1f及1.0.2-beta1,其他版本不受影響,建議廣大站長及網站管理員盡快修復OpenSSL漏洞,重新生成SSL私鑰,替換SSL證書,如果發(fā)現網站已遭黑客攻擊,則應立即提醒用戶盡快更改密碼,以避免因賬號被盜遭受損失。
360則第一時間向12萬網站用戶發(fā)送提醒郵件,提醒廣大站長盡快將OpenSSL升級至1.0.1g版本,以修復該漏洞。為幫助用戶避免相應風險,360網站衛(wèi)士推出OpenSSL漏洞在線檢查,輸入網址就能夠檢測網站是否存在該漏洞。石曉虹提醒廣大互聯(lián)網服務商,盡快將OpenSSL升級至1.0.1g進行修復,同時建議廣大網友,在此漏洞得到修復前,暫時不要在受到漏洞影響的網站上登錄賬號。