“心臟流血”漏洞死灰復(fù)燃？Android設(shè)備或遭攻擊

在安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)了“心臟流血”（Heartbleed）漏洞，并提交給相關(guān)管理機(jī)構(gòu)整整7周后，這一漏洞似乎依舊 在給人們制造問題。據(jù)葡萄牙互聯(lián)網(wǎng)安全研究人員劉易斯-格蘭吉亞(Luis Grangeia)透露，黑客可以利用這一漏洞通過Wifi展開類似的攻擊行為。

據(jù)悉，格蘭吉亞所發(fā)現(xiàn)的新型攻擊形式被稱為“Cupid”。“Cupid”的攻擊步驟與“心臟流血”完全一致，只不過前者主要利用的不是開放Web，而是WiFi網(wǎng)絡(luò)展開攻擊。比如，該漏洞允許黑客截取Android設(shè)備和路由器之間的通信數(shù)據(jù)。同時(shí)，黑客也能夠獲悉目標(biāo)設(shè)備存儲(chǔ)在內(nèi)存上的部分信息，因此而有可能導(dǎo)致用戶的個(gè)人認(rèn)證憑證、個(gè)人信息遭到泄露。目前，格蘭吉亞已經(jīng)針對(duì)自己的發(fā)現(xiàn)發(fā)布了一份研究報(bào)告，并敦促設(shè)備供應(yīng)商和網(wǎng)絡(luò)管理方盡快升級(jí)自己的現(xiàn)有設(shè)備。到目前為止，我們尚不清楚有多少設(shè)備會(huì)受到這一漏洞的影響，但相信“Cupid”所造成的負(fù)面影響要比“心臟流血”減輕許多。

分析人士認(rèn)為，最有可能遭遇類似漏洞入侵是那些采用可擴(kuò)展認(rèn)證協(xié)議(EAP)的路由器，這類路由器通常需要用戶名和密碼才能夠正常工作，但這一漏洞卻可以利用“心臟流血”漏洞繞過這一安全機(jī)制。格蘭吉亞所擔(dān)心的另一個(gè)方面是，目前運(yùn)行Android 4.1.1的設(shè)備也面臨著遭受“心臟流血”漏洞的影響。比如，黑客可以利用這一漏洞架設(shè)一個(gè)公開的Wifi網(wǎng)絡(luò)，一旦用戶手機(jī)連接了這一網(wǎng)絡(luò)后，黑客便有可能從設(shè)備中讀取數(shù)據(jù)?？梢钥隙ǖ氖?，雖然許多用戶已經(jīng)在“心臟流血”漏洞最先被披露的時(shí)候升級(jí)了系統(tǒng)，但目前仍然有數(shù)百萬之巨的Android設(shè)備運(yùn)行著該操作系統(tǒng)。

備注：Heartbleed（心臟流血）漏洞：今年4月初，安全公司Codenomicon的工程師安蒂·卡加萊能（Antti Karjalainen）在正常的工作時(shí)，卻偶然發(fā)現(xiàn)了互聯(lián)網(wǎng)史上最大的安全漏洞——Heartbleed（心臟流血）漏洞。Heartbleed漏洞影響了被廣泛使用的開放源代碼SSL安全套件OpenSSL的加密協(xié)議。簡言之，這個(gè)漏洞可以誘使服務(wù)器將其內(nèi)存中的數(shù)據(jù)溢出來，從而可能讓黑客掌握這一漏洞，并進(jìn)一步竊取諸如信用卡和密碼等之類的敏感信息。