|
|
马上注册,结交更多好友,享用更多功能。
您需要 登录 才可以下载或查看,没有帐号?注册
x
年度高危OpenSSL互联网“心脏出血”安全漏洞不但影响网站安全,手机APP同样也难逃劫难。据360手机安全中心最新统计发现,有50%的手机APP正在使用HTTPS安全传输协议。据Google证实,在安卓4.1.1手机上存在相应漏洞问题。安全专家表示,即使安卓系统无漏洞,这些使用了HTTPS协议的APP的服务器端信息仍有可能被黑客窃取。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。4月8日,OpenSSL爆出严重安全漏洞,此漏洞在黑客社区中被命名为“心脏出血”漏洞。
360安全专家石晓虹博士此前表示,OpenSSL“心脏出血”漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民,初步评估一批HTTPS登录方式的主流网站,有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。
金山毒霸安全专家李铁军透露,这个漏洞使黑客可以远程读取HTTPS服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的COOKIES、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。”
安全专家进一步分析还发现,OpenSSL漏洞不仅影响HTTPS开头的网址,还影响到间接使用了OpenSSL代码的产品和服务,比如,VPN、邮件系统、FTP工具等产品和服务,甚至涉及到其他一些安全设施的源代码。“可以说,OpenSSL漏洞的危害远远超乎人们的想象,其后遗症也将持续很长一段时间”,360网站卫士工程师董方认为。
“漏洞被挖掘出来以后,带来的危害并不会非常快地显现。”瑞星安全专家唐威提醒,现阶段企业层面能做的是对使用的OpenSSL进行排查和升级。
OpenSSL漏洞被批露后,不少网站及时采取了补救措施,但仍有网站未引起足够的重视。数据显示,OpenSSL漏洞爆发三天后,仍有28.1%的网站主机没有修复漏洞。360网站安全检测平台对国内120万家经过授权的网站扫描后发现,4月8日共有18000多个网站主机存在漏洞。4月9日下午,有漏洞的网站主机数量下降到11000余个。截至4月10日中午,仍未修复漏洞的网站主机仍超过5000个。
为维护用户信息安全,安全专家建议:尽量在不同手机APP下使用不同密码,防止黑客攻击了某个服务器之后,使用同一密码进入你的其他客户端,特别是支付类应用的密码一定要单独设置;同时安装手机安全软件,检测手机及网络安全环境,防止被网络钓鱼。对于使用电脑上网的网民来说,在OpenSSL漏洞得到各大网站彻底修复前,尽量避免在有漏洞的网站上登入账号是最好的自保措施。
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
