安全漏洞 “心臟出血(heartbleed)” 繼續,原因是 “丘比特”

雖然距離OpenSSL爆出心臟出血漏洞(heartbleed)已過去了有一段時間,但這個漏洞的影響卻遠沒有結束。葡萄牙的安全研究人員發布的一份報告顯示,同樣的漏洞可以在WiFi傳輸過程中重演,攻擊者可以藉此對安卓設備進行攻擊。


這種新型的攻擊被稱為“丘比特”,攻擊方式與網頁漏洞有所不同。當人們通過企業路由器或者惡意路由器連接安卓設備時,攻擊者利用這個可以漏洞獲取設備工作內存裡的信息片段,從而竊取用戶的信息。在這個過程中,用戶證書、設備證書和密鑰都會一覽無遺。鑑於漏洞的嚴重性,研究人員已經發布了一個補丁,他們希望用戶,特別是管理員能夠儘早進行更新。

研究人員表示,目前尚不清楚有多少設備會遭受攻擊,但是這個漏洞造成的破壞性可能不會比上次心臟出血漏洞大。其中,最可能遭受攻擊的是無線LAN中常見的基於EPA的路由器,使用過程中通常需要單獨用戶名和密碼進行登陸。在測試後他們發現,不管是路由器還是認證服務器,攻擊者都可以利用心臟出血漏洞竊取用戶密鑰。雖然不知道有多少路由器會因配置問題會被攻擊,但由於這種攻擊只限於WiFi範圍內,所以被攻擊的目標也很明確,因此該漏洞造成的影響應該不會有之前那次那麼廣泛。

值得注意的是,許多安卓設備仍在使用4.1.1版的系統,而該版本最容易受到此漏洞的影響。在進行路由器攻擊時,攻擊者會提供一個公共的WiFi信號,然後利用心臟出血漏洞從連上該信號的設備裡竊取信息。這種新型的攻擊方式讓很多安卓設備暴露於危險之中。據統計,到上個月底,仍有數百萬的安卓設備在使用4.1.1版,這些沒有進行更新的設備可能會遭受到攻擊。這則消息更是一種警示,告訴我們心臟出血漏洞仍然在影響著大量設備。儘管大型服務器打了補丁,但是攻擊者更可能暗地裡對用戶設備發起攻擊。研究人員表示,由於OpenSSL和TLS這些服務的廣泛使用,有一大批的設備會成為被攻擊的潛在目標。 “雖然網頁和郵件是TLS的最大使用者,但並不意味著只有他們使用這些服務。” 凡是沒有打補丁的設備,都可能會被竊取信息。

迄今為止,心臟出血漏洞造成的破壞中,大概只有半數被清理乾淨,“丘比特”恐怕也只是冰山一角。在未來的數年內,我們可能仍會不斷見到這類攻擊。


資料來源:雷鋒網

如果喜歡我們的文章,請即分享到︰

標籤: 心臟出血  heartbleed