近日美國(guó)知名安全公司火眼(FireEye)發(fā)布了安全報(bào)告��,該報(bào)告揭示了一個(gè)令人不安的事實(shí):雖然官方發(fā)布了補(bǔ)丁����,但大量的安卓和iOS移動(dòng)應(yīng)用仍存RREAK漏洞���。
FREAK漏洞
今年3月初����,安全專家發(fā)現(xiàn)了一個(gè)編號(hào)為FREAK(CVE-2015-0204)(點(diǎn)我查看FreeBuf漏洞分析)的嚴(yán)重漏洞�����。當(dāng)網(wǎng)民訪問安全網(wǎng)站時(shí)���,攻擊者可以利用該漏洞破解加密流量,并發(fā)起中間人攻擊�。
通過利用FREAK漏洞,攻擊者可以迫使客戶端使用包含漏洞的低版本加密方式����,然后可以在數(shù)小時(shí)內(nèi)破解上網(wǎng)流量,即使這些流量以512位的密鑰加密保護(hù)也無濟(jì)于事����。一旦解密了這些流量,攻擊者就可以偷取敏感信息���,或者通過注入惡意代碼發(fā)起攻擊�����。
近11.2%的應(yīng)用存在風(fēng)險(xiǎn)
近日��,安全公司火眼(FireEye)發(fā)布了一份報(bào)告����,該報(bào)告揭示了一個(gè)令人不安的事實(shí):
盡管廠商已經(jīng)發(fā)布了針對(duì)安卓和iOS的FREAK漏洞補(bǔ)丁,但是當(dāng)連接到接受RSA_EXPORT密碼套件的服務(wù)器時(shí)���,很多應(yīng)用仍然處于FREAK漏洞的攻擊風(fēng)險(xiǎn)之中���。此外,除了最近蘋果為它的移動(dòng)設(shè)備發(fā)布的iOS8.2版本系統(tǒng)之外����,許多iOS應(yīng)用仍舊易于遭受FREAK攻擊。
火眼公司掃描了谷歌應(yīng)用商店中10985個(gè)安卓應(yīng)用��,發(fā)現(xiàn)將近11.2%的應(yīng)用存在FREAK漏洞��,因?yàn)檫@些應(yīng)用中仍然在使用包含漏洞的OpenSSL庫(kù)���。
而受影響的這1228個(gè)應(yīng)用已經(jīng)被下載超過63億次���。在這1228個(gè)安卓應(yīng)用中���,有664個(gè)使用了安卓?jī)?nèi)置的OpenSSL庫(kù),564個(gè)使用了自己編譯的OpenSSL庫(kù)�����,而所有這些OpenSSL版本都易遭受FREAK攻擊����。對(duì)蘋果設(shè)備來說��,情況稍微好一些����,在掃描的14000個(gè)iOS應(yīng)用中,只有771個(gè)容易受到攻擊���。
研究人員在報(bào)告中說:
“在低于iOS8.2的版本上�����,這些應(yīng)用容易遭受FREAK攻擊�����。771個(gè)應(yīng)用中有7個(gè)使用的是自己編譯的OpenSSL庫(kù)���,它們?cè)趇OS8.2系統(tǒng)上仍然受FREAK漏洞影響��������!
研究人員將這些抽查的應(yīng)用分成了幾個(gè)類別(照片和視頻、生活方式����、社交網(wǎng)絡(luò)、衛(wèi)生健康����、金融、通信��、購(gòu)物��、商業(yè)和醫(yī)療應(yīng)用)��,下圖中顯示了每種類別中仍舊受此漏洞影響的應(yīng)用數(shù)量。
小編推薦閱讀
